Criminosos preparam onda de ataques usando a falha PrintNightmare do Windows

Por Felipe Gugelmin | Editado por Claudio Yuge | 12 de Julho de 2021 às 16h20
Divulgação/PXfuel

Revelada publicamente no começo de julho, a falha Windows Print Spooler — ou PrintNightmare — previsivelmente já está sendo usada por diversos cibercriminosos. Entre os elementos que ajudam na ação dos grupos está a divulgação da prova de conceito do problema antes que ele pudesse ser corrigido pela Microsoft.

Enquanto essa informação ficou disponível por pouco tempo no GitHub, isso foi o suficiente para que ela fosse baixada e republicada diversas vezes. A falha é especialmente grave por permitir que alguém assuma o controle de um servidor ou máquina vulnerável a partir de uma conta de usuário comum e distribua códigos maliciosos, modifique permissões de usuários e roube dados confidenciais.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Segundo a empresa de segurança Kaspersky, a vulnerabilidade PrintNightmare também está presente em novos módulos de estrutura, como o Mimikatz e o Metasploit, que são comumente usadas por muitos grupos criminosos. Isso faz com que ela acredite que haverá um número crescente de tentativas de obter acesso a recursos corporativos usando o exploit, que deve vir acompanhado por novos ataques de ransomware e roubos de dados.

Através de suas plataformas de proteção, a empresa identificou alguns dos processos que se aproveitam da falha:

  • HEUR:Exploit.Win32.CVE-2021-1675.*
  • HEUR:Exploit.Win32.CVE-2021-34527.*
  • HEUR:Exploit.MSIL.CVE-2021-34527.*
  • HEUR:Exploit.Script.CVE-2021-34527.*
  • HEUR:Trojan-Dropper.Win32.Pegazus.gen
  • PDM:Exploit.Win32.Generic
  • PDM:Trojan.Win32.Generic
  • Exploit.Win32.CVE-2021-1675.*
  • Exploit.Win64.CVE-2021-1675.*

Falha grave e fácil de explorar

"Esta vulnerabilidade é realmente grave porque permite que os cibercriminosos tenham acesso a outros computadores dentro da rede de uma organização. Como o exploit está disponível publicamente, muitos cibercriminosos devem tirar proveito dela. Portanto, pedimos que todos os usuários instalem as últimas atualizações de segurança para o Windows", alerta Fabio Assolini, analista sênior de segurança da Kaspersky.

Imagem: Divulgação/Lansweeper

A Microsoft começou a oferecer atualizações para os sistemas afetados no dia 6 de julho — a gravidade da situação é tamanha que até o descontinuado Windows 7 recebeu um patch. A vulnerabilidade é identificada pelo código CVE-2021-24527 e está presente em todas as versões do sistema operacional.

Enquanto a atualização oficial já está no Windows Update, a Microsoft também oferece uma página em que é possível baixá-la manualmente (clique aqui para acessar). A principal recomendação para se proteger da ameaça é instalar o quanto antes a correção oferecida pela empresa de Seattle e ficar atento a campanhas de spam que prometem proteção adicional, mas na verdade transmitem arquivos maliciosos que podem comprometer sua máquina.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.