Microsoft sugere alternativas ao PrintNightmare

A vulnerabilidade PrintNightmare está sendo rastreada como CVE-2021-34527 e é muito séria em seu impacto potencial.

Dito isso, ainda não foi atribuído o rating CVSS, pois ainda está sendo investigado.

Quando os pesquisadores de segurança publicaram inadvertidamente os detalhes técnicos de uma vulnerabilidade de execução remota no Windows Print Spooler pensando (erroneamente) que havia sido corrigido, houve uma preocupação com as implicações.

E com razão. A Microsoft confirmou os piores temores das pessoas, dizendo que a falha de segurança do PrintNightmare já está sendo explorada.

No entanto, há algumas boas notícias. A empresa também sugere algumas soluções alternativas que podem ser usadas para proteger os sistemas até que um patch seja produzido.

A Microsoft continua explicando um pouco sobre como funciona a vulnerabilidade:

Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa incorretamente operações de arquivo com privilégios.

Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM.

Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos de usuário totais.

Um ataque deve envolver um usuário autenticado chamando RpcAddPrinterDriverEx ().

A Microsoft aconselha a instalação das atualizações de segurança lançadas em 8 de junho e também oferece algumas soluções alternativas.

Determine se o serviço Spooler de Impressão está em execução (execute como Administrador de Domínio)

Execute o seguinte como um administrador de domínio:

Get-Service -Name Spooler

Se o Spooler de Impressão estiver em execução ou se o serviço não estiver definido como desabilitado, selecione uma das seguintes opções para desabilitar o serviço Spooler de Impressão ou Desabilitar a impressão remota de entrada por meio da Política de Grupo:

Opção 1 – Desativar o serviço de spooler de impressão

Se desativar o serviço Spooler de impressão for apropriado para sua empresa, use os seguintes comandos do PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Desabilitado

Impacto da solução alternativa Desativar o serviço Spooler de impressão desativa a capacidade de imprimir local e remotamente.

Opção 2 – Desative a impressão remota de entrada por meio da Política de Grupo

Você também pode definir as configurações por meio da Política de Grupo da seguinte maneira:

Configuração do computador / Modelos administrativos / Impressoras

Desative a política “Permitir que o spooler de impressão aceite conexões de cliente:” para bloquear ataques remotos.

Impacto da solução alternativa Esta política bloqueará o vetor de ataque remoto, evitando operações de impressão remota de entrada. O sistema não funcionará mais como um servidor de impressão, mas a impressão local em um dispositivo conectado diretamente ainda será possível.

Fonte: Betanews – Acessado em 05/08/2021

The following two tabs change content below.
Alexandre Queiroz é Carioca legítimo,amante de sua cidade (Rio de Janeiro), muito bem casado, amante de novas Tecnologias, Música Eletrônica, Carros, Viajar, Cachorros e etc. Este site/blog é utilizado somente para compartilhar notícias, guardar soluções próprias, dicas e sem fins lucrativos... É utilizado como hobbie e para armazenar conhecimento.

Latest posts by Alexandre Queiroz (see all)