PrintNightmare: falha atinge todas as versões do Windows

Dias após vir a público com a brecha que ficou conhecida como PrintNightmare, a Microsoft está de volta com mais um alerta complicado: a falha pode afetar todas as versões do Windows. A informação aparece em um relatório oficial do centro de pesquisas em segurança da empresa, que também indica mitigações e medidas de proteção contra uma vulnerabilidade que ainda está sendo investigada e segue sem correção, enquanto é utilizada ativamente por criminosos.

• Sistema de impressão remota é a porta para novo ataque contra o Windows
• Tentativas de fraudes contra serviços financeiros cresceram 612% no Brasil
• Ex-funcionário roubou US$ 10 milhões da Microsoft usando cartões do Xbox

Inicialmente, acreditava-se que apenas versões do sistema operacional para servidores estavam vulneráveis ao CVE-2021-34527, que permite a execução de código remoto, com privilégio de administrador, a partir do sistema de impressão remota do Windows. Entretanto, todas as versões recentes do sistema operacional contam com os componentes de programação que permitem esse ataque e, dias depois da revelação da brecha, veio a confirmação de que qualquer edição pode ser atacada desta maneira.

Mais especificamente, a vulnerabilidade foi detectada a partir do Windows 7 Service Pack 1, passando também pelo Windows 8.1 e diferentes edições do Windows 10, além, como já citado, versões do sistema operacional para servidores a partir do Windows Server 2008. Máquinas de 32 e 64 bits podem sofrer os ataques, assim como pacotes para processadores ARM.

O problema aparece em um recurso chamado Print Spooler, que gerencia as filas de documentos enviados remotamente para impressão. A partir da brecha, um criminoso pode criar novas contas com privilégio de administrador, coletar arquivos das vítimas ou enviar malwares à rede e aos dispositivos, com novos vetores de ataque abertos a partir destas vias.

Dois fatores tornam a brecha mais grave. Primeiro, de acordo com o relatório da Microsoft, esta é uma exploração de baixa complexidade; segundo, pelo fato de uma prova de conceito que detalhava o ataque ter sido publicada antes da hora. Pesquisadores em segurança da empresa especializada Sangfor apontaram uma falha de comunicação com a Microsoft e acabaram divulgando os detalhes da brecha no Github. O código foi apagado rapidamente, mas foi bifurcado antes disso e, para os especialistas, deve ser considerado público.

Prova disso é que, antes mesmo de atualizar as informações sobre o CVE-2021-34527, a Microsoft já alertava sobre ataques envolvendo a vulnerabilidade. Enquanto uma atualização não é liberada, a empresa divulgou indicadores de comprometimento e recomenda que os usuários, principalmente corporativos, desativem o serviço Print Spooler ou, pelo menos, o envio remoto de documentos para a fila de impressão — desnecessário dizer que, em muitas corporações, esse é um problema dos grandes.

Por enquanto, não existe previsão de liberação de uma atualização para a falha PrintNightmare. Além disso, com a confirmação de que todas as versões recentes do Windows são vulneráveis, fica a questão sobre as versões do sistema operacional que já não recebem mais suporte, como é o caso do Windows 7, cujo ciclo de vida foi encerrado em janeiro do ano passado.

Fonte: Microsoft