Uma exploração PoC para a perigosa vulnerabilidade PrintNightmare no Windows Print Spooler (spoolsv.exe) foi publicado on-line. Este bug tem ID CVE-2021-1675 e foi corrigido pela Microsoft há apenas algumas semanas, como parte do Patch Tuesday de junho.
O Windows Print Spooler Service é uma interface universal entre sistemas operacionais, formulários, e impressoras locais ou de rede, permitindo que desenvolvedores de aplicativos enviem trabalhos de impressão. Este serviço está incluído no Windows desde os anos 90 e é conhecido por sua infinidade de problemas.
Em particular, vulnerabilidades como ImprimirDemônio, FaxInferno, Impressora do Mal, CVE-2020-1337 e até mesmo vários bugs de dia 0 foram associados ao Windows Print Spooler, quais foram usado em ataques Stuxnet.
O mais novo problema CVE-2021-1675 foi descoberto por especialistas da Tencent Security, AFINE e NSFOCUS no início deste ano.
No entanto, A Microsoft atualizou a descrição do bug na semana passada para relatar que o problema pode causar execução remota arbitrária de código.
Anteriormente, quase nada se sabia sobre CVE-2021-1675, uma vez que os especialistas não publicaram descrições técnicas do problema ou explorações para ele. Mas na semana passada, a empresa chinesa QiAnXin mostrou um arquivo GIF onde demonstrou o funcionamento de seu exploit para CVE-2021-1675. Ao mesmo tempo, a empresa não publicou nenhum detalhe técnico e a exploração em si, para dar aos usuários mais tempo para instalar patches.
No entanto, um relatório detalhado com uma descrição técnica do problema foi postado no GitHub, bem como uma exploração PoC funcional. Parece que foi devido a um erro de outra pessoa e o repositório foi encerrado após algumas horas. No entanto, mesmo neste pouco tempo, vários outros usuários conseguiram cloná-lo.
Este documento vazado, escrito por três analistas da empresa chinesa Sangfor, fornece detalhes de como os especialistas descobriram o erro independentemente dos especialistas acima mencionados.
Adicionalmente, os especialistas explicaram que depois que QiAnXin publicou uma demonstração de sua exploração, eles pensaram que era hora de publicar seu relatório e PoC.
No entanto, algumas horas depois desta declaração, a equipe retirou suas palavras (parece que os especialistas decidiram não divulgar todos os detalhes de seu discurso, agendado no Black Hat EUA 2021 conferência) e excluiu o repositório do GitHub. Mas era tarde demais, a exploração do PoC tornou-se pública.
Desde CVE-2021-1675, que Sangfor chama de PrintNightmare, afeta todas as versões do Windows e pode até afetar XP e Vista quando usado para execução remota de código, as empresas são fortemente incentivadas a atualizar sua frota de máquinas Windows o mais rápido possível.
Deixe-me lembrá-lo de que também falei sobre Microsoft corrige um bug que corrompia arquivos FLAC.