Na última semana eu falou sobre uma exploração PoC para a perigosa vulnerabilidade CVE-2021-34527 no Windows Print Spooler (spoolsv.exe), que os pesquisadores chamaram de PrintNightmare, e agora um patch não oficial para este problema foi publicado.
Quando a exploração foi publicada, os pesquisadores descobriram que o patch lançado em junho não resolveu completamente o problema. Além disso, a publicação da exploração deixou muitos pesquisadores confusos, e alguns sugeriram que PrintNightmare é uma vulnerabilidade autônoma de dia zero que precisa de sua própria correção.
Por exemplo, Mitya Kolsek, chefe da Acros Security e cofundador da 0Patch, escreveu sobre isso no Twitter.
O problema afeta todas as versões do Windows, pode até afetar XP e Vista, e ajuda remotely execute arbitrary code com privilégios SYSTEM, que permite que um invasor instale programas, visualizar, modificar ou excluir dados, e crie novas contas com direitos de usuário.
Ainda não há patch para esta vulnerabilidade, e especialistas da Microsoft relataram que o problema já está sendo explorado na vida real, embora a empresa não tenha especificado se isso está sendo feito por cibercriminosos ou pesquisadores de segurança da informação.
Os engenheiros da Microsoft ofereceram aos administradores várias soluções para o problema. Por exemplo, é recomendado desabilitar completamente o Spooler de Impressão bloqueando a impressão local e remotamente. Também é possível desabilitar a impressão remota de entrada através da Política de Grupo, que bloqueará o principal vetor de ataques potenciais. No segundo caso, “o sistema não funcionará mais como um servidor de impressão, mas a impressão local a partir de dispositivos conectados diretamente ainda será possível.”
Agora apareceu uma terceira opção: os especialistas envolvidos no desenvolvimento da solução 0patch prepararam patches temporários (ou micro-patches) para este problema. Deixe-me lembrá-lo que 0patch é uma plataforma projetada apenas para tais situações, aquilo é, corrigindo vulnerabilidades de dia 0 e outras vulnerabilidades não corrigidas, para oferecer suporte a produtos que não são mais suportados pelos fabricantes, Software personalizado, e assim por diante.
Micropatches estão disponíveis para Windows Server 2019, Servidor Windows 2016, Servidor Windows 2012 R2, Servidor Windows 2008 R2, bem como Windows 10 v20H2, Windows 10 v2004, e janelas 10 v1909.
