Correção da Microsoft ainda não resolve falha grave do Windows
Especialistas apontam que grave falha de segurança do Windows apelidada de "PrintNightmare" não foi corrigida por patch emergencial
Especialistas apontam que grave falha de segurança do Windows apelidada de "PrintNightmare" não foi corrigida por patch emergencial
Na última terça-feira (06), a Microsoft começou a liberar um patch que, teoricamente, corrigiria uma grave falha de segurança no spooler de impressão do Windows. Mas a vulnerabilidade CVE-2021-34527, apelidada de “PrintNightmare” e que permite a execução remota de códigos maliciosos, não foi resolvida por completo, de acordo com diversos especialistas.
O patch de emergência KB5004945 foi liberado para diversos sistemas operacionais da Microsoft e corrigiu o bug que permitia a execução remota de códigos. Porém, esse é apenas parte do problema.
Segundo pesquisadores em segurança digital da Hacker House, empresa dedicada a identificar e notificar esse tipo de vulnerabilidade, a falha ainda existe e permite que possíveis invasores realizem ações no computador com privilégios de administrador.
Matthew Hickey, co-fundador da Hacker House, apontou a permanência do bug no Twitter, demonstrando que é possível ultrapassar o patch de segurança da Microsoft para conseguir privilégios administrativos. Outro analista de vulnerabilidades para o centro de pesquisas CERT/CC, Will Dormann, corroborou com as afirmações de Hickey, determinando que somente o componente de execução remota havia sido corrigido.
Fully patched Windows 2019 domain controller, popped with 0day exploit (CVE-2021-1675) from a regular Domain User's account giving full SYSTEM privileges. Disable "Print Spooler" service on servers that do not require it. pic.twitter.com/6SUVQYy5Tl
— hackerfantastic.x (@hackerfantastic) June 30, 2021
Contudo, o problema pode ser ainda maior. Conforme mais pesquisadores e analistas começaram a testar o patch de segurança da Microsoft, foi determinado que a correção inteira ainda pode ser ultrapassada para acessar ambas as falhas sobre os privilégios administrativos e a execução remota de códigos.
O criador do app open-source Mimikatz, Benjamin Delpy, afirmou que o patch de emergência pode ser ultrapassado para acessar completamente a “PrintNightmare” através do spooler de impressão do Windows. Posteriormente, Dormann também confirmou a extensão da vulnerabilidade no Twitter.
Hickey disse ao BleepingComputer que a Hacker House está recomendando desabilitar o spooler de impressão sempre que ele não é necessário até que uma “correção apropriada” seja implementada.
A falha por si só já é grave, mas ela foi explorada devido a uma prova de conceito, que incluía detalhes do código, divulgada por engano por pesquisadores de segurança da Sangfor Technologies enquanto preparavam a apresentação de um estudo.
Eles acreditavam que a falha já havia sido corrigida pela Microsoft, mas acabaram divulgando o “manual” completo do bug na internet. Trata-se de uma brecha especialmente perigosa nas mãos de hackers e grupos de ransomware.
Com informações: BleepingComputer
Leia | Como acessar, limpar e excluir documentos da fila de impressão