Sistema de impressão remota é a porta para novo ataque contra o Windows

A Microsoft emitiu um alerta sobre uma nova falha de segurança que está sendo usada ativamente por criminosos contra o Windows. De acordo com a empresa, todas as versões do sistema operacional possuem o código responsável pela brecha, mas por enquanto, sua utilização só pôde ser detectada nas edições da plataforma que rodam em servidores, constituindo mais uma dor de cabeça para os usuários corporativos.

• EUA e Reino Unido acusam Rússia de ciberataques a infraestruturas de nuvem
• Ex-funcionário roubou US$ 10 milhões da Microsoft usando cartões do Xbox
• Tentativas de fraudes contra serviços financeiros cresceram 612% no Brasil

O problema está em um recurso chamado Print Spooler, que gerencia filas de documentos enviados remotamente para impressão — ou seja, uma necessidade presente em muitas companhias. A falha permitiria a execução de códigos remotamente com privilégios de administrador, com um atacante sendo capaz de instalar programas, modificar e coletar arquivos ou criar novas contas com acesso completo aos sistemas internos das vítimas.

Para piorar ainda mais a situação, uma aparente confusão entre pesquisadores de segurança digital e a Microsoft levou à publicação de uma prova de conceito da ameaça antes de uma atualização ser liberada. Especialistas da Sangfor divulgaram os detalhes da brecha no GitHub, com o código sendo deletado rapidamente depois, mas não antes de ser bifurcado em outros projetos e se tornar efetivamente público.

Antes mesmo de isso acontecer, entretanto, a brecha, que está sendo chamada de Printnightmare, já vinha sendo explorada ativamente. O alerta da Microsoft, porém, vem após a divulgação da prova de conceito, que deve intensificar ainda mais os ataques contra sistemas corporativos enquanto a empresa trabalha em uma correção e, também, na verificação se sistemas operacionais voltados ao usuário final também estão suscetíveis a essa exploração.

Até lá, a recomendação da empresa e dos especialistas é pelo desligamento de sistemas remotos de fila de impressão, caso isso seja possível dentro da estrutura corporativa, ou, pelo menos, usar políticas de grupo para monitorar e controlar esse uso. A Microsoft também liberou indicadores de ameaça e outros elementos técnicos que possam ajudar na identificação e mitigação de uma intrusão.

Até mesmo o governo dos Estados Unidos entrou na história, com a Agência de Cibersegurança e Infraestrutura (CISA, na sigla em inglês) também emitindo um alerta para que as empresas americanas desativem recursos de impressão remota, pelo menos, nos sistemas que não utilizarem impressoras. As brechas desse tipo, também, são um pesadelo antigo, como o nome Printnightmare indica, já que não é a primeira vez que a plataforma é responsável por uma brecha dessa categoria.

Um dos maiores exemplos foi o Stuxnet, um vírus de computador que usou falhas de segurança até então desconhecidas, incluindo aquelas disponíveis em sistemas de impressão, para realizar ataques contra usinas nucleares do Irã. A praga foi descoberta em 2010 e, depois, alguns de seus conceitos chegaram a serem utilizados na criação de outros malwares, voltados a uma utilização mais ampla contra, inclusive, usuários finais.

Fonte: Bleeping Computer