Falha grave no Windows é explorada devido a código liberado por engano

Ainda sem correção, falha conhecida como PrintNightmare afeta spooler de impressão do Windows e dá acesso remoto ao sistema

Emerson Alecrim
• Atualizado há 1 ano e 2 meses

O trabalho de analistas de segurança digital envolve encontrar falhas em sistemas antes de elas serem exploradas. Mas, às vezes, essa missão tem efeito contrário. É o caso de uma vulnerabilidade que afeta o spooler de impressão do Windows. O problema, que permite que código malicioso seja executado de modo remoto, ficou conhecido como PrintNightmare.

Um “malware” liberado por engano

A Microsoft libera uma conjunto de correções na segunda terça-feira de cada mês. Esse ritual é conhecido como Patch Tuesday. A última liberação foi feita em 8 de junho e trouxe uma correção focada justamente nos recursos de impressão do Windows.

Trata-se de uma atualização para uma falha identificada como CVE-2021-1675 que afeta o Windows 10, o Windows Server 2019 e outras versões do sistema operacional. O problema possibilita a execução remota de código malicioso ou que o invasor realize ações no computador com privilégios de administrador, por exemplo.

O problema é grave, mas foi corrigido no último Patch Tuesday. Final feliz, certo? Era no que pesquisadores da empresa Sangfor Technologies acreditavam.

Eles estavam preparando um estudo a ser apresentado na edição de agosto do evento Black Hat. A pesquisa trata justamente de vulnerabilidades no spooler de impressão do Windows. Como o problema já estava corrigido, eles decidiram publicar a prova de conceito relacionada à falha, incluindo informações e código para a sua exploração.

A surpresa veio na sequência: a falha que os pesquisadores exploraram é parecida, mas não é a mesma que foi corrigida pela Microsoft. O equívoco fez com que eles divulgassem, sem querer, todos os recursos necessários para uma falha zero-day (ainda não corrigida) ser explorada por invasores.

Até que a Sangfor foi rápida em remover o código divulgado por engano. Mas já era tarde. Cópias apareceram em repositórios e outras plataformas online sem demora. Há relatos de que o problema já vem sendo explorado. O código pode ser útil para grupos de ransomware, por exemplo.

O novo problema foi identificado como CVE-2021-34527.

Falha ainda não tem correção

Por ter sido descoberta recentemente, a falha ainda está sob investigação. Parece que a correção para a vulnerabilidade CVE-2021-1675 pode proteger o Windows do PrintNightmare, mas não se o computador executar a função de controlador de domínio, ou seja, atuar como um servidor que gerencia solicitações de autenticação.

A Microsoft admitiu que a vulnerabilidade está presente em todas as versões do Windows, mas ainda não está claro se o problema se manifesta apenas nas versões para servidores do sistema operacional (Windows Server) — tudo indica que sim.

Enquanto esperam pela correção, administradores podem proteger o sistema desativando o spooler de impressão do Windows ou, se isso não for possível, limitando ao máximo o acesso ao serviço de impressão.

Com informações: BleepingComputer, The Register.

Leia | O que é um exploit de software ou hardware?

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.