Criminosos preparam onda de ataques usando a falha PrintNightmare do Windows

Revelada publicamente no começo de julho, a falha Windows Print Spooler — ou PrintNightmare — previsivelmente já está sendo usada por diversos cibercriminosos. Entre os elementos que ajudam na ação dos grupos está a divulgação da prova de conceito do problema antes que ele pudesse ser corrigido pela Microsoft.

• PrintNightmare: falha atinge todas as versões do Windows
• Windows recebe atualização emergencial para corrigir a falha PrintNightmare
• Windows causa pane em impressoras após correção urgente da falha PrintNightmare

Enquanto essa informação ficou disponível por pouco tempo no GitHub, isso foi o suficiente para que ela fosse baixada e republicada diversas vezes. A falha é especialmente grave por permitir que alguém assuma o controle de um servidor ou máquina vulnerável a partir de uma conta de usuário comum e distribua códigos maliciosos, modifique permissões de usuários e roube dados confidenciais.

Segundo a empresa de segurança Kaspersky, a vulnerabilidade PrintNightmare também está presente em novos módulos de estrutura, como o Mimikatz e o Metasploit, que são comumente usadas por muitos grupos criminosos. Isso faz com que ela acredite que haverá um número crescente de tentativas de obter acesso a recursos corporativos usando o exploit, que deve vir acompanhado por novos ataques de ransomware e roubos de dados.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Através de suas plataformas de proteção, a empresa identificou alguns dos processos que se aproveitam da falha:

• HEUR:Exploit.Win32.CVE-2021-1675.*
• HEUR:Exploit.Win32.CVE-2021-34527.*
• HEUR:Exploit.MSIL.CVE-2021-34527.*
• HEUR:Exploit.Script.CVE-2021-34527.*
• HEUR:Trojan-Dropper.Win32.Pegazus.gen
• PDM:Exploit.Win32.Generic
• PDM:Trojan.Win32.Generic
• Exploit.Win32.CVE-2021-1675.*
• Exploit.Win64.CVE-2021-1675.*

Falha grave e fácil de explorar

"Esta vulnerabilidade é realmente grave porque permite que os cibercriminosos tenham acesso a outros computadores dentro da rede de uma organização. Como o exploit está disponível publicamente, muitos cibercriminosos devem tirar proveito dela. Portanto, pedimos que todos os usuários instalem as últimas atualizações de segurança para o Windows", alerta Fabio Assolini, analista sênior de segurança da Kaspersky.

A Microsoft começou a oferecer atualizações para os sistemas afetados no dia 6 de julho — a gravidade da situação é tamanha que até o descontinuado Windows 7 recebeu um patch. A vulnerabilidade é identificada pelo código CVE-2021-24527 e está presente em todas as versões do sistema operacional.

Enquanto a atualização oficial já está no Windows Update, a Microsoft também oferece uma página em que é possível baixá-la manualmente (clique aqui para acessar). A principal recomendação para se proteger da ameaça é instalar o quanto antes a correção oferecida pela empresa de Seattle e ficar atento a campanhas de spam que prometem proteção adicional, mas na verdade transmitem arquivos maliciosos que podem comprometer sua máquina.