A Microsoft lançou um aviso sobre uma nova vulnerabilidade no Print Spooler (CVE-2021-36958) que permite que invasores locais obtenham privilégios de sistema em um computador.
A nova vulnerabilidade está relacionada a outras Bugs do PrintNightmare que exploram as configurações do Spooler de impressão, drivers de impressão, e Windows apontar e imprimir.
A Microsoft lançou anteriormente patches para PrintNightmare em julho e agosto, mas um problema originalmente descoberto pelo pesquisador Benjamin Delpy ainda permite que invasores obtenham rapidamente privilégios no nível do sistema simplesmente conectando-se a um servidor de impressão remoto.
Ótimo #terça-feira Microsoft, mas você não esqueceu algo para #pesadelo de impressão? ?
Ainda SYSTEM do usuário padrão…
(Posso ter perdido alguma coisa, mas #mimikatz?biblioteca mimispool ainda carrega… ?♂️) pic.twitter.com/OWOlyLWhHI
— ? Benjamim Delpy (@gentilkiwi) Agosto 10, 2021
A vulnerabilidade usa a diretiva CopyFile para copiar um arquivo DLL que abre um prompt de comando para o cliente junto com o driver de impressão quando conectado a uma impressora. Embora a Microsoft tenha mudado recent updates sobre a instalação de um novo driver de impressora para que agora exija direitos de administrador, esses direitos não são necessários para conectar-se à impressora se o driver já estiver instalado.
E se o driver já existir no lado do cliente e portanto não precisar ser instalado, conectar-se a uma impressora remota ainda acionará o CopyFile sem direitos de administrador. Esta vulnerabilidade permite que uma DLL seja copiada para o lado do cliente e executada, abra um prompt de comando com privilégios de sistema.
A Microsoft emitiu agora um aviso de segurança anunciando uma nova vulnerabilidade no Print Spooler que está sendo rastreada como CVE-2021-36958.
Para se proteger contra esse problema, a empresa recomenda novamente desativar o Spooler de impressão.
O conhecido especialista em segurança cibernética e analista CERT/CC Will Dormann disse Computador bipando que a descrição do CVE-2021-36958 a vulnerabilidade é totalmente consistente com a exploração PoC que Delpy postou no Twitter em agosto 10.
Também, jornalistas notaram que a Microsoft classificou esta vulnerabilidade como um problema de execução remota de código, embora o ataque deva ser realizado localmente. Will Dorman confirma que esta é claramente uma escalada de privilégios locais (com base em uma pontuação CVSS de 7.3/6.8). O especialista acredita que o boletim de segurança será atualizado nos próximos dias.
