No início desta semana, A Microsoft lançou um patch de emergência para um bug crítico do PrintNightmare descoberto recentemente no Windows Print Spooler (spoolsv.exe), mas foi ineficaz.
Microsoft atribuído o ID do bug CVE-2021-34527, e também confirmou que o problema permite que código arbitrário seja executado remotamente com privilégios de SYSTEM e permite que um invasor instale programas, visualizar, modificar ou excluir dados, e crie novas contas com direitos de usuário.
- Windows 10 21H1 (KB5004945);
- Windows 10 20H1 (KB5004945);
- Windows 10 2004 (KB5004945);
- Windows 10 1909 (KB5004946);
- Windows 10 1809 e Windows Server 2019 (KB5004947);
- Windows 10 1507 (KB5004950);
- Windows 8.1 e Windows Server 2012 (KB5004954/KB5004958);
- Windows 7 SP1 e Windows Server 2008 R2 SP1 (KB5004953/KB5004951);
- Servidor Windows 2008 SP2 (KB5004955/KB5004959).
Ao mesmo tempo, pesquisadores de segurança cibernética descobriram rapidamente que essas correções estavam incompletas, já que a vulnerabilidade ainda pode ser explorada localmente para obter privilégios de SYSTEM. Em particular, esta informação foi confirmada por Mateus Hickey, co-fundador da Hacker House, e Will Dormann, analista na CERT/CC.
Como aconteceu agora, o problema é ainda mais sério do que eles pensavam. Outros pesquisadores também começaram a modificar suas explorações e a testar o patch, depois disso descobriu-se que a correção poderia ser facilmente contornada, com a exploração da vulnerabilidade não apenas para escalação de privilégios locais, mas também para execução remota de código arbitrário.
Desenvolvedor Mimikatz Benjamim Delp escreve que o patch pode ser ignorado se a política de restrições de apontar e imprimir estiver ativa, e a “Ao instalar drivers para uma nova conexão” parâmetro deve ser definido como “Não mostrar aviso no prompt de elevação”.
Matthew Hickey disse Computador bipando que é melhor que os usuários desativem completamente o Spooler de impressão, bloqueando a impressão local e remotamente (até que um patch completo esteja disponível).
Também, a própria publicação observa que o micropatch não oficial do desenvolvedor 0patch acabou sendo mais eficaz, e pode ser usado em vez do oficial. No entanto, esta solução de terceiros entra em conflito com a solução de julho da Microsoft 6, 2021 correção, então 0patch só pode ser aplicado em vez do oficial.
Microsoft diz que já está ciente dos especialistas’ descobertas, e a empresa já está investigando esses relatos.