O pesadelo de impressão da Microsoft não parece querer terminar.
Mais uma, e possivelmente mais duas, falhas de segurança graves relacionadas ao Windows PrintNightmare falha foi revelada nos últimos dias. Até que a Microsoft forneça atualizações de software, a única maneira de proteger completamente o seu sistema de ataques usando pelo menos uma dessas falhas é desabilitar completamente a impressão.
Como a falha do PrintNightmare que foi acidentalmente divulgada, e então parcialmente corrigido , no final de junho e início de julho, essas novas falhas abusam do serviço Print Spooler no Windows.
A primeira falha ocorreu em 15 de julho em um inesperado Boletim de segurança da Microsoft . Ele permite que um invasor com acesso local-como malware que já infectou sua máquina por outros meios, ou um vilão sentado em sua máquina enquanto você está conectado, mas se afastou-“escalar privilégios”e obter controle total sobre a máquina.
“Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM”, disse a Microsoft em seu boletim.”Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.”
“A solução alternativa para essa vulnerabilidade é interromper e desativar o serviço Spooler de impressão”, o fabricante de software adicionado secamente.
Em outras palavras, para mitigar (embora não realmente consertar) essa falha, você tem que desabilitar totalmente a impressão. Temos instruções sobre como fazer isso abaixo.
Essa correção é realmente para você?
Mas espere: se você estiver usando um PC em casa, E você’Temos alguns dos melhores antivírus do Windows 10 instalados para evitar a infecção por malware, E você confie nas pessoas com quem você mora para não mexer no seu PC, talvez você não precise tomar essas medidas drásticas.
A exploração dessa falha (a Microsoft deu a ela o número de catálogo CVE-2021-34481) é um risco maior para usuários de PC em locais de trabalho que estão em rede (localmente) com dezenas de outras máquinas e que podem deixar seus PCs desbloqueado enquanto eles vão tomar um café ou usar o banheiro.
O crédito pela descoberta dessa falha vai para um pesquisador de segurança chamado Jacob Baines, que planeja divulgar suas descobertas na conferência de hackers DEF CON no próximo mês. Ele ficou um pouco perplexo porque a Microsoft decidiu revelar a falha publicamente antes que uma correção estivesse disponível.
“O MS Advisory/CVE foi uma surpresa para mim e, no que me diz respeito, não foi t uma divulgação coordenada”, escreveu Baines em um tweet. Ele acrescentou que revelou em particular a falha para a Microsoft em 18 de junho.
Se você está aqui para obter informações sobre CVE-2021-34481, terá que esperar pela minha palestra DEF CON. Não o considero uma variante do PrintNightmare. O MS Advisory/CVE foi uma surpresa para mim e, no que me diz respeito, não foi uma divulgação coordenada. 16 de julho , 2021
Veja mais
A Microsoft disse em seu boletim que estava”desenvolvendo uma atualização de segurança”para corrigir essa falha, mas não forneceu um calendário.
A empresa não deu detalhes sobre exatamente qual é a falha, mas a sinopse DEF CON de Baines sugere que ela tem algo a ver com a instalação de um driver de impressão vulnerável usando o Windows PrintDemon, Spooler de impressão e Serviços de apontar e imprimir.
Ele promete mostrar”três exemplos”que sugerem que ele pode ter encontrado mais de uma falha, ou mais de uma maneira de explorar a mesma falha.
Uma falha diferente, ou uma variante do mesmo?
Parece que pode se sobrepor à segunda vulnerabilidade de segurança de impressão do Windows divulgada nos últimos dias, conforme revelado pelo hacker francês Benjamin Delpy em 16 de julho.
#printnightmare-Episódio 4Você sabe o que é melhor do que uma impressora Kiwi Legit? 🥝Outra impressora Kiwi Legit… 👍Nenhum pré-requisito, você nem precisa assinar drivers/pacote🤪 pic.twitter. com/oInb5jm3tE 16 de julho de 2021
Veja mais
Delpy disse a Bipando no computador que encontrou uma lacuna no recurso Apontar e imprimir do Windows que permite desligar carregamento e instalação pela Internet de drivers de impressão que não foram verificados pela Microsoft.
Apontar e imprimir já é ruim o suficiente, pois permite que usuários do Windows sem privilégios-que normalmente não têm permissão para instalar software em nível de sistema-baixem e instalem drivers de impressoras locais. Felizmente, apontar e imprimir não é frequentemente encontrado em PCs domésticos, sendo mais uma coisa corporativa.
Mas esses drivers devem ser assinados pela Microsoft. Delpy descobriu que poderia contornar isso e fornecer drivers de impressora maliciosos ao conectar um PC a duas impressoras semelhantes ao mesmo tempo. (Não entendemos exatamente como funciona.)
Will Dormann, um pesquisador do CERT Coordination Center (CERT-CC) financiado pelo governo dos EUA em Pittsburgh, confirmou que o exploit de Delpy”funciona bem.”
Isso funciona bem. Quem poderia ter previsto que permitir que usuários não administradores instalassem drivers de impressora automaticamente poderia ser problemático? https://t.co/0c4IRwUoij 17 de julho de 2021
Veja mais
Agora, se essa é a mesma falha que Baines revelou à Microsoft, não podemos dizer. Delpy diz que sua exploração funciona na Internet, permitindo a execução remota de código por hackers distantes, em vez de apenas o aumento de privilégios locais por hackers próximos. E, novamente, a falha de Delpy não se aplica realmente a PCs domésticos, enquanto a falha de Baines sim. Mas eles soam praticamente iguais.
Dormann redigiu um CERT-CC oficial boletim de segurança que avisa sobre a falha ainda não catalogada do Delpy. As atenuações são”bloquear o tráfego SMB de saída no limite da sua rede”e”configurar PackagePointAndPrintServerList”, o que não fará sentido para usuários domésticos.
Como desativar o Spooler de impressão
No entanto, os usuários domésticos podem implementar a solução temporária da Microsoft para a falha catalogada que foi divulgada anteriormente. Novamente, isso mata sua capacidade de imprimir, então pense duas vezes antes de fazer isso.
Para desativar o Spooler de impressão, você precisa fingir que é um profissional de TI e iniciar o Windows PowerShell, o que é meio uma versão mais poderosa da ferramenta padrão de prompt de comando do Windows. Felizmente, o PowerShell foi integrado ao Windows desde o Windows 7.
1. Pesquise por”PowerShell”no campo de pesquisa próximo ao ícone do Windows no canto inferior esquerdo da tela do Windows 10
2. Clique com o botão direito em”Windows PowerShell”nos resultados da pesquisa e selecione”Executar como administrador”.
3. Digite sua senha administrativa do Windows. Se você já executa o Windows regularmente como administrador (e não deveria ) , então é apenas sua senha de login normal.
4. Na janela do PowerShell, digite
Get-Service-Name Spooler
e, em seguida, a tecla Enter.
Você receberá um breve relatório de status informando se o Spooler de impressão está em execução e habilitado. Se for, execute as próximas etapas.
5. Digite
Stop-Service-Name Spooler-Force
e pressione a tecla Enter. Isso desativa o Spooler de impressão durante a sessão atual do Windows.
6. Digite
Set-Service-Name Spooler-StartupType Disabled
e pressione a tecla Enter. Isso desativa o Spooler de impressão completamente até que você o reinicie manualmente novamente.
Como reativar o Spooler de impressão
Claro, você vai querer tornar a impressão possível novamente assim que esta falha for corrigida.
Para reiniciar o Spooler de impressão, inicie o PowerShell novamente, digite
Start-Service-Name Spooler-Force
e pressione a tecla Enter.
Para tornar a alteração permanente, digite
Set-Service-Name Spooler-StartupType Enabled
e pressione a tecla Enter.
As melhores ofertas do Bitdefender Total Security de hoje
