Microsoft corrige últimas falhas do PrintNightmare no Windows
Por Felipe Demartini | Editado por Claudio Yuge | 15 de Setembro de 2021 às 18h30
A novela do PrintNightmare parece estar próxima do fim, com a Microsoft liberando nesta terça-feira (14) mais uma atualização para o Windows e corrigindo o que parecem ser as últimas brechas relacionadas a uma categoria de ataque descoberta originalmente em junho. Desnecessário dizer, claro, que a recomendação é de atualização o mais rapidamente possível, tanto para usuários finais quanto corporativos, de forma que as aberturas não possam mais serem utilizadas por cibercriminosos.
- Sistema de impressão remota é a porta para novo ataque contra o Windows
- PrintNightmare: falha atinge todas as versões do Windows
- Brecha no Microsoft Office pode ser mais perigosa do que parecia
As correções fazem parte das tradicionais atualizações de segurança do sistema operacional, que chegam mensalmente às terças. Anteriormente, em outros dois patches, a empresa já havia mitigado outras vulnerabilidades relacionadas ao PrintNightmare; a última surgiu no final de julho pelas mãos do pesquisador Benjamin Delpy, que mostrou como seria capaz de obter privilégios de administrador em uma máquina a partir de um servidor remoto voltado ao controle de impressoras.
Mais especificamente, uma diretriz do sistema operacional serviu para que o especialista executasse um arquivo DLL malicioso. A partir dele, teve acesso a uma janela de console, de onde poderia executar novos comandos e, caso fosse um agente criminoso, realizar a instalação de malwares e outras atividades irregulares no computador, tudo à distância e sem que nem mesmo aplicativos de proteção fossem capazes de detectar a ação.
O próprio Delpy validou a atualização liberada pela Microsoft nesta terça, que faz com que o Defender bloqueie o acesso irregular e alerte o usuário sobre a tentativa de intrusão. Além disso, de acordo com o especialista, a própria diretriz do sistema relacionada à brecha, de código CVE-2021-36958, também foi desabilitada de forma a evitar futuras explorações em sistemas que não estejam corretamente atualizados.
Entretanto, essa mesma atitude também levou a problemas em algumas redes, com as redes sociais já registrando relatos de usuários que não conseguem mais se conectarem às impressoras remotas após o update. A maioria dos problemas está relacionado a sistemas que rodam baseados em servidores, com usuários de PCs indicando que tudo parece estar funcionando.
As aberturas conhecidas como PrintNightmare foram divulgadas inicialmente em junho, de forma acidental, depois que uma prova de conceito dos possíveis ataques veio à público antes da hora. O projeto, publicado inicialmente no GitHub, foi rapidamente retirado do ar, mas não sem antes cair em mãos erradas que, claro, começaram a explorar ativamente a falha, que se tornou uma arma nas mãos de pelo menos três grupos cibercriminosos conhecidos, incluindo a gangue de ransomwares Conti.
Dois coelhos de uma vez
Juntamente com o aparente fim do drama do Print Nightmare, a atualização desta terça também traz mitigações para outra vulnerabilidade descoberta recentemente e que vinha sendo usada, principalmente, em ataques contra sistemas corporativos. A brecha está em um sistema do Internet Explorer usado por documentos do pacote Office para carregar conteúdos online, que também pode ser usada para rodar códigos maliciosos de forma remota.
A correção rápida vem em boa hora, afinal, mesmo mitigações apontadas pela Microsoft não parecem ser suficientes para resolver o problema de forma completa. Os relatos dos especialistas em segurança, enquanto isso, apontam para casos de exploração maliciosa da abertura, usando táticas de phishing por e-mail que, apesar de batidas, ainda se mostram um bocado eficazes.
Fonte: Bleeping Computer