A Microsoft lançou atualizações de segurança de emergência para lidar com a vulnerabilidade de dia zero do PrintNightmare no Windows, que é explorada ativamente no mundo real.
A vulnerabilidade PrintNightmare está associada ao Windows Print Spooler e afeta todas as versões do Windows. Infelizmente, o patch não corrige totalmente a vulnerabilidade e os invasores ainda podem explorá-la para obter privilégios de SISTEMA.
Vulnerabilidade de execução remota de código CVE-2021-34527 permite que invasores assumam o controle dos servidores afetados. Em caso de operação bem-sucedida, eles recebem privilégios de SISTEMA, o que significa que podem instalar programas, visualizar, alterar e excluir dados e criar novas contas com todos os direitos.
Instruções detalhadas para instalar atualizações de segurança fora de ordem para seu sistema operacional estão disponíveis nos documentos de suporte com link abaixo:
Windows 10 versão 21H1 (KB5004945)
Windows 10 versão 20H1 (KB5004945)
Windows 10 versão 2004 (KB5004945)
Windows 10 versão 1909 (KB5004946)
Windows 10 versão 1809 e Windows Server 2019 (KB5004947)
Windows 10, versão 1803 (KB5004949) [ainda não disponível]
Windows 10 versão 1507 (KB5004950)
Windows 8.1 e Windows Server 2012 (Rollup Mensal KB5004954 / Atualização de Segurança KB5004958)
Windows 7 SP1 e Windows Server 2008 R2 SP1 (KB5004953 Rollup Mensal / Atualização de Segurança KB5004951)
Windows Server 2008 SP2 (Rollup Mensal KB5004955 / Atualização de Segurança KB5004959)
A Microsoft ainda não lançou atualizações de segurança para o Windows 10, versão 1607, Windows Server 2016 ou Windows Server 2012, mas promete fazê-lo em breve.
A empresa informa:
As notas de lançamento para essas atualizações podem ser atrasadas até uma hora após as atualizações estarem disponíveis para download.
As atualizações para as versões com suporte afetadas restantes do Windows serão lançadas nos próximos dias.
Os patches corrigem apenas a exploração remota:
A vulnerabilidade PrintNightmare inclui uma execução remota de código (RCE) e um vetor de escalonamento de privilégio local (LPE), que pode ser explorado em ataques para executar comandos com privilégios SYSTEM em um sistema afetado.
Depois que a Microsoft lançou uma atualização de emergência, o pesquisador de segurança Matthew Hickey revisou o patch e confirmou que ele corrige apenas o componente RCE, não o LPE.
Isso significa que o patch está incompleto e que invasores e malware podem explorar a vulnerabilidade para obter privilégios de SISTEMA.
Medidas para fechar a vulnerabilidade também estão disponíveis:
A Microsoft encoraja fortemente os clientes a aplicarem imediatamente essas atualizações de segurança fora de ordem para lidar com a vulnerabilidade PrintNightmare.
Os usuários que não conseguem instalar essas atualizações o mais rápido possível podem revisar as soluções alternativas publicadas no Boletim de segurança CVE-2021-34527 para proteger seus sistemas de ataques que exploram o PrintNightmare.
As opções de mitigação de ataque disponíveis incluem desabilitar o serviço Spooler de Impressão - neste caso, a capacidade de imprimir local ou remotamente - e desabilitar a impressão remota de entrada usando a Política de Grupo para remover o vetor de ataque remoto bloqueando as operações de impressão remota de entrada.
A Microsoft diz que com a segunda opção, "o sistema não funcionará mais como um servidor de impressão, mas a impressão local em um dispositivo conectado diretamente ainda funcionará".
Na semana passada, a Agência de Proteção Cibernética e de Infraestrutura (CISA) emitiu um aviso de vulnerabilidade do PrintNightmare aconselhando os administradores a desabilitar o serviço Print Spooler em servidores que não são usados para impressão.
2021-07-08 15:17:07
Autor: Vitalii Babkin