PrintNightmare

Prova de conceito de vulnerabilidade séria do Windows foi publicada acidentalmente na internet.

Em o que parece ter sido um erro, uma detalhada prova de conceito de vulnerabilidade do Windows foi publicada no GitHub, colocando em risco usuários desse sistema operacional.

Identificada como CVE-2021-1675, a vulnerabilidade foi corrigida no início deste mês nas atualizações de segurança do Patch Tuesday de junho de 2021 da Microsoft.

A vulnerabilidade, batizada de “PrintNightmare”, afeta o Spooler de impressão (spoolsv.exe), um serviço do Windows que serve como uma interface universal genérica entre o sistema operacional Windows, os aplicativos e as impressoras locais ou em rede, permitindo que os desenvolvedores de aplicativos iniciem facilmente os trabalhos de impressão.

O serviço está incluído no Windows desde os anos 90 e é um dos processos mais problemáticos do sistema operacional, com muitas vulnerabilidades sendo descobertas ao longo dos anos, incluindo bugs como PrintDemon, FaxHell, Evil Printer, CVE-2020-1337 e até alguns dos dias zero usados ​​nos ataques Stuxnet.

Embora a vulnerabilidade já tenha sido tratada no último patch, nenhuma prova de conceito estava disponível, de forma que atacantes teriam que fazer a engenharia reversa do patch para entender onde estava a vulnerabilidade e como ela poderia ser explorada.

Mas ontem (29/06/21), analistas de segurança da empresa Sangfor publicaram uma detalhada análise da vulnerabilidade e prova de conceito funcional. Após críticas, a POC foi removida do site, mas não antes de ter sido copiada diversas vezes e ser considerada de conhecimento público agora.

É importante notar que a vulnerabilidade afeta todas as versões do sistema operacional Windows disponíveis hoje e pode até afetar versões obsoletas do Windows, como XP e Vista. Como este serviço vem ativo por padrão até mesmo em controladores de domínio, a vulnerabilidade pode ser usada para tomar o controle total de uma rede. Entretanto, é preciso que o atacante já esteja do lado de dentro da rede, já que o serviço de spooler não pode ser acessado a partir da internet. Mas ainda assim, considerando que nem todas as organizações aplicam prontamente as atualizações de segurança, isto significa que a divulgação indevida da POC coloca em risco um número significativo de organizações.

Observação: Segundo relatos, o patch de junho não corrige inteiramente a vulnerabilidade do PrintNightmare, então mesmo no caso de equipamentos 100% atualizados, a recomendação atual é desativar o serviço de print spooler nos servidores onde ele não é estritamente necessário.

Atualização em 02/07/21: A Microsoft publicou um artigo sobre a vulnerabilidade onde oferece duas opções de mitigação, a desativação do serviço como comentamos acima, ou a criação de GPO para impedir o acesso remoto ao serviço, o que manteria a capacidade de imprimir localmente, via Computer Configuration / Administrative Templates / Printers e desabilitando a opção “Allow Print Spooler to accept client connections:”.