Mês passado, especialistas em segurança cibernética inadvertidamente revelado uma exploração PoC para um problema perigoso relacionado ao serviço Windows Print Spooler, que é uma interface universal entre sistemas operacionais, aplicativos e impressoras locais ou de rede, permitindo que desenvolvedores de aplicativos enviem trabalhos de impressão.
Como resultado, um patch de emergência foi lançado para a vulnerabilidade, qual foi criticado por especialistas pela sua ineficiência, mas a Microsoft disse que a correção funcionou como deveria.
No entanto, como Computador bipando agora relata, os problemas com o Spooler de impressão do Windows não acabaram. O pesquisador de segurança e criador do Mimikatz Benjamin Delpy disse que encontrou uma maneira de abusar do método usual de instalação de drivers de impressora no Windows e obter privilégios de SYSTEM usando drivers maliciosos. Além disso, este método funciona mesmo que os administradores tenham tomado Medidas de mitigação recomendadas pela Microsoft limitando a instalação de drivers de impressora e desativando Apontar e Imprimir.
#pesadelo de impressão – Episódio 3
Você sabe que mesmo corrigido, com configuração padrão (ou segurança aplicada com #Microsoft configurações), um usuário padrão pode carregar drivers como SYSTEM?
– Escalação de privilégios locais – #recurso pic.twitter.com/Zdge0okzKi
— ? Benjamim Delpy (@gentilkiwi) Julho 15, 2021
Embora o novo método de escalonamento de privilégios locais seja diferente da exploração chamada PrintNightmare, Delpy diz que esses bugs são muito semelhantes e devem ser tratados por completo.
O especialista explica que no passado, A Microsoft tentou evitar tais ataques eliminando o suporte para a versão 3 drivers de impressora, mas isso acabou causando problemas, e Microsoft abandonei a ideia em junho 2017.
Infelizmente, esse problema provavelmente nunca será corrigido porque o Windows deve permitir que um administrador instale drivers de impressora, mesmo que possam ser maliciosos. Além disso, O Windows deve permitir que usuários não administradores instalem drivers assinados em seus dispositivos para facilitar o uso. Nomeadamente, essas nuances foram abusadas pelo Delpy.
Vale ressaltar também que esta semana a Microsoft compartilhou suas recomendações para corrigir a nova vulnerabilidade do Spooler de Impressão, que possui o identificador CVE-2021-34481. O problema também está relacionado ao escalonamento de privilégios por meio do Spooler de impressão, e foi descoberto pelo especialista em Dragos, Jacob Baines.
Ao contrário do problema do PrintNightmare, esta vulnerabilidade só pode ser explorada localmente para escalonamento de privilégios. Baines aponta que CVE-2021-34481 e PrintNightmare não estão relacionados e representam bugs diferentes.
Pouco se sabe atualmente sobre este problema, incluindo quais versões do Windows são vulneráveis a ele. Baines apenas diz que o bug está de alguma forma relacionado ao driver da impressora, e o pesquisador promete contar todos os detalhes em agosto 7, durante um discurso no Conferência DEF CON.
Atualmente, A Microsoft simplesmente recomenda desabilitar o Spooler de impressão na máquina afetada.
