Microsoft confirma outra brecha grave no sistema de impressão do Windows
Por Felipe Gugelmin | Editado por Claudio Yuge | 12 de Agosto de 2021 às 16h00
Poucos dias após a Microsoft lançar uma grande atualização que tinha o objetivo de acabar com as brechas de segurança no sistema de impressão do Windows, uma nova ameaça foi descoberta pela empresa. Nesta quinta-feira (12), ela confirmou que a existência de nova falha de dia zero (que ainda não era conhecida) que coloca os usuários sob o risco de ataques externos.
- Microsoft lança atualização que põe fim a brechas de impressoras no Windows
- Nova falha do Windows lembra o PrintNightmare e pode ceder controle total
- PrintNightmare: falha atinge todas as versões do Windows
A nova falha, identificada pelo código CVE-2021-36958 está diretamente relacionada a um problema que foi corrigido pela empresa em seu último patch de segurança. Nele, a conexão com um sistema de impressão remoto poderia ser abusada por um criminoso para ganhar privilégios de administrador e, assim, controlar totalmente a máquina afetada.
A solução da Microsoft foi mudar o tipo de permissão necessária para se conectar a um servidor remoto e instalar drivers através dele (sistema conhecido como “Apontar e Imprimir”). Se antes da atualização qualquer pessoa poderia fazer isso, agora, por padrão, o Windows exige privilégios de administrador para prosseguir com essa etapa.
No entanto, isso não impede que drivers que já foram instalados garantam conexão com servidores remotos — e isso gera uma brecha de segurança que pode ser explorada por atacantes. O pesquisador Benjamin Delpy realizou testes que mostraram que, com isso, é possível instalar um DLL malicioso que permite a execução remota de um prompt de comando que garante acesso total à máquina afetada, mesmo quando a correção anterior já foi instalada.
Microsoft recomenda solução
Enquanto o problema ainda não foi corrigido pela Microsoft, a empresa publicou em seu site um conselho de como lidar com ele. No momento, a única solução viável para o bug identificado pelo código CVE-2021-369578 é desabilitar totalmente o sistema Print Spooler — o que vai impedir que sua máquina seja usada para iniciar a impressão de arquivos.
Outra opção, mais viável para manter o recurso ativo, é configurar restrições para um grupo ligado por rede para que só seja possível se conectar a servidores confiáveis sob a permissão de um usuário com privilégios de administrador. No entanto, isso não garante que sistemas que já foram configurados se tornem focos de ataques, o que exigiria uma ação física do atacante.
Segundo a documentação compartilhada pela companhia, o problema foi descoberto ainda em dezembro de 2020 por Victor Mata, da FusionX, mas somente agora se tornou público. Até o momento, a Microsoft ainda não informou um prazo para o lançamento de uma correção definitiva para a vulnerabilidade.
Fonte: Bleeping Computer, Microsoft