Apesar do segundo patch, PrintNightmare está de volta

INÍCIO » #Repost

Ícone de tempo de leitura 2 minutos. ler

Ícone do calendário Atualizado em

by Surur Davids 

atualizado em

Compartilhe este artigo

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

A Microsoft está lidando com uma vulnerabilidade em que hackers podem assumir PCs instalando drivers de impressora comprometidos há quase um mês, mas parece que o problema é mais complexo e profundo do que a Microsoft previa.

Apesarum patch recente que alterou os padrões no Windows 10 e impediu que os usuários padrão instalassem drivers de impressora, os hackers encontraram um desvio que ainda permitia uma escalação de privilégios para usuários padrão.

Benjamin Delpy mostrou que hackers podem obter rapidamente privilégios de SISTEMA simplesmente conectando-se a um servidor de impressão remoto, usando a diretiva de registro CopyFile para copiar um arquivo DLL que abre um prompt de comando para o cliente junto com um driver de impressão quando você se conecta a uma impressora .

A Microsoft reconheceu o problema em comunicado CVE-2021-36958, dizendo:

Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa incorretamente operações de arquivo com privilégios. Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos de usuário totais.

A solução alternativa para essa vulnerabilidade é interromper e desabilitar o serviço Spooler de impressão.

Embora a Microsoft chame isso de vulnerabilidade de execução remota de código, a exploração parece ser um bug de escalonamento de privilégios locais, que deve pelo menos fornecer alguma garantia para os administradores de rede.

A Microsoft está mais uma vez recomendando que os administradores desativem o Spooler de impressão e, assim, desativem a impressão do Windows. Outra solução alternativa, não recomendada pela Microsoft, é limitar as impressoras às quais você pode se conectar a uma lista específica usando a política de grupo 'Apontar e imprimir em pacotes – servidores aprovados'. Leia como fazer isso em BleepingComputer aqui.

Mais sobre os tópicos: CVE-2021-36958, explorar, Imprimir Pesadelo, segurança, servidor do windows

Surur Davids

Surur Davids Proteger

Especialista em smartphones

Surur Davids é o fundador do WMPoweruser, que mais tarde se tornou MSPoweruser.com. Ele é um especialista em smartphones com mais de uma década de experiência.