Publicidade

Criminosos preparam onda de ataques usando a falha PrintNightmare do Windows

Por  • Editado por Claudio Yuge | 

Compartilhe:
Divulgação/PXfuel
Divulgação/PXfuel

Revelada publicamente no começo de julho, a falha Windows Print Spooler — ou PrintNightmare — previsivelmente já está sendo usada por diversos cibercriminosos. Entre os elementos que ajudam na ação dos grupos está a divulgação da prova de conceito do problema antes que ele pudesse ser corrigido pela Microsoft.

Enquanto essa informação ficou disponível por pouco tempo no GitHub, isso foi o suficiente para que ela fosse baixada e republicada diversas vezes. A falha é especialmente grave por permitir que alguém assuma o controle de um servidor ou máquina vulnerável a partir de uma conta de usuário comum e distribua códigos maliciosos, modifique permissões de usuários e roube dados confidenciais.

Segundo a empresa de segurança Kaspersky, a vulnerabilidade PrintNightmare também está presente em novos módulos de estrutura, como o Mimikatz e o Metasploit, que são comumente usadas por muitos grupos criminosos. Isso faz com que ela acredite que haverá um número crescente de tentativas de obter acesso a recursos corporativos usando o exploit, que deve vir acompanhado por novos ataques de ransomware e roubos de dados.

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
Continua após a publicidade

Através de suas plataformas de proteção, a empresa identificou alguns dos processos que se aproveitam da falha:

  • HEUR:Exploit.Win32.CVE-2021-1675.*
  • HEUR:Exploit.Win32.CVE-2021-34527.*
  • HEUR:Exploit.MSIL.CVE-2021-34527.*
  • HEUR:Exploit.Script.CVE-2021-34527.*
  • HEUR:Trojan-Dropper.Win32.Pegazus.gen
  • PDM:Exploit.Win32.Generic
  • PDM:Trojan.Win32.Generic
  • Exploit.Win32.CVE-2021-1675.*
  • Exploit.Win64.CVE-2021-1675.*

Falha grave e fácil de explorar

"Esta vulnerabilidade é realmente grave porque permite que os cibercriminosos tenham acesso a outros computadores dentro da rede de uma organização. Como o exploit está disponível publicamente, muitos cibercriminosos devem tirar proveito dela. Portanto, pedimos que todos os usuários instalem as últimas atualizações de segurança para o Windows", alerta Fabio Assolini, analista sênior de segurança da Kaspersky.

A Microsoft começou a oferecer atualizações para os sistemas afetados no dia 6 de julho — a gravidade da situação é tamanha que até o descontinuado Windows 7 recebeu um patch. A vulnerabilidade é identificada pelo código CVE-2021-24527 e está presente em todas as versões do sistema operacional.

Enquanto a atualização oficial já está no Windows Update, a Microsoft também oferece uma página em que é possível baixá-la manualmente (clique aqui para acessar). A principal recomendação para se proteger da ameaça é instalar o quanto antes a correção oferecida pela empresa de Seattle e ficar atento a campanhas de spam que prometem proteção adicional, mas na verdade transmitem arquivos maliciosos que podem comprometer sua máquina.