Parece que a situação do PrintNightmare foi resolvida na Patch Tuesday, quando a Microsoft lançou uma mudança que supostamente resolveria o problema . No entanto, parece que PrintNightmare está tudo menos acabado.
Nova vulnerabilidade PrintNightmare
A nova vulnerabilidade do spooler de impressão de dia zero foi descoberta. Ele está sendo rastreado como CVE-2021-36958 e parece permitir que hackers obtenham privilégios de acesso ao SISTEMA em um PC com Windows.
Como exploits anteriores, este ataca as configurações do spooler de impressão do Windows, dos drivers de impressão do Windows e do recurso Apontar e Imprimir do Windows.
A exploração foi detectada pela primeira vez por Benjamin Delpy (via Bleeping Computer ) e permite que os agentes de ameaças obtenham acesso ao SISTEMA conectando-se a um servidor de impressão remoto. Mais tarde, a Microsoft confirmou os problemas, dizendo: “Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa indevidamente operações de arquivo com privilégios”.
Quanto ao que alguém pode fazer se explorar esta vulnerabilidade, a Microsoft diz: “Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios de SISTEMA. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos totais de usuário. ”
Como você pode se proteger?
Infelizmente, teremos que esperar até que a Microsoft emita um patch para corrigir essa nova vulnerabilidade. Enquanto isso, você pode desativar o spooler de impressão ou permitir que seu dispositivo instale impressoras apenas de servidores autorizados.
Para habilitar o último, você precisará editar a política de grupo em seu PC. Para fazer isso, inicie gpedit.msc e clique em “Configuração do usuário”. Em seguida, clique em “Modelos administrativos”, seguido de “Painel de controle”. Por fim, vá para “Impressoras” e clique em “Package Point and Print – Approved Servers”.
Depois de chegar a Package Point and Print – Approved Servers, insira a lista de servidores que deseja permitir para usar como servidor de impressão ou criar um e pressione OK para ativar a política. Não é uma solução perfeita, mas ajudará a protegê-lo, a menos que o agente da ameaça possa assumir o controle de um servidor de impressão autorizado com drivers maliciosos.