Criminosos preparam onda de ataques usando a falha PrintNightmare do Windows
Por Felipe Gugelmin • Editado por Claudio Yuge |

Revelada publicamente no começo de julho, a falha Windows Print Spooler — ou PrintNightmare — previsivelmente já está sendo usada por diversos cibercriminosos. Entre os elementos que ajudam na ação dos grupos está a divulgação da prova de conceito do problema antes que ele pudesse ser corrigido pela Microsoft.
- PrintNightmare: falha atinge todas as versões do Windows
- Windows recebe atualização emergencial para corrigir a falha PrintNightmare
- Windows causa pane em impressoras após correção urgente da falha PrintNightmare
Enquanto essa informação ficou disponível por pouco tempo no GitHub, isso foi o suficiente para que ela fosse baixada e republicada diversas vezes. A falha é especialmente grave por permitir que alguém assuma o controle de um servidor ou máquina vulnerável a partir de uma conta de usuário comum e distribua códigos maliciosos, modifique permissões de usuários e roube dados confidenciais.
Segundo a empresa de segurança Kaspersky, a vulnerabilidade PrintNightmare também está presente em novos módulos de estrutura, como o Mimikatz e o Metasploit, que são comumente usadas por muitos grupos criminosos. Isso faz com que ela acredite que haverá um número crescente de tentativas de obter acesso a recursos corporativos usando o exploit, que deve vir acompanhado por novos ataques de ransomware e roubos de dados.
Através de suas plataformas de proteção, a empresa identificou alguns dos processos que se aproveitam da falha:
- HEUR:Exploit.Win32.CVE-2021-1675.*
- HEUR:Exploit.Win32.CVE-2021-34527.*
- HEUR:Exploit.MSIL.CVE-2021-34527.*
- HEUR:Exploit.Script.CVE-2021-34527.*
- HEUR:Trojan-Dropper.Win32.Pegazus.gen
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- Exploit.Win32.CVE-2021-1675.*
- Exploit.Win64.CVE-2021-1675.*
Falha grave e fácil de explorar
"Esta vulnerabilidade é realmente grave porque permite que os cibercriminosos tenham acesso a outros computadores dentro da rede de uma organização. Como o exploit está disponível publicamente, muitos cibercriminosos devem tirar proveito dela. Portanto, pedimos que todos os usuários instalem as últimas atualizações de segurança para o Windows", alerta Fabio Assolini, analista sênior de segurança da Kaspersky.
A Microsoft começou a oferecer atualizações para os sistemas afetados no dia 6 de julho — a gravidade da situação é tamanha que até o descontinuado Windows 7 recebeu um patch. A vulnerabilidade é identificada pelo código CVE-2021-24527 e está presente em todas as versões do sistema operacional.
Enquanto a atualização oficial já está no Windows Update, a Microsoft também oferece uma página em que é possível baixá-la manualmente (clique aqui para acessar). A principal recomendação para se proteger da ameaça é instalar o quanto antes a correção oferecida pela empresa de Seattle e ficar atento a campanhas de spam que prometem proteção adicional, mas na verdade transmitem arquivos maliciosos que podem comprometer sua máquina.