O trabalho de analistas de segurança digital envolve encontrar falhas em sistemas antes de elas serem exploradas. Mas, às vezes, essa missão tem efeito contrário. É o caso de uma vulnerabilidade que afeta o spooler de impressão do Windows. O problema, que permite que código malicioso seja executado de modo remoto, ficou conhecido como PrintNightmare.
- Hackers apagam HDs Western Digital remotamente usando falhas não corrigidas
- Dados de 700 milhões de usuários do LinkedIn estão à venda na dark web
Um “malware” liberado por engano
A Microsoft libera uma conjunto de correções na segunda terça-feira de cada mês. Esse ritual é conhecido como Patch Tuesday. A última liberação foi feita em 8 de junho e trouxe uma correção focada justamente nos recursos de impressão do Windows.
Trata-se de uma atualização para uma falha identificada como CVE-2021-1675 que afeta o Windows 10, o Windows Server 2019 e outras versões do sistema operacional. O problema possibilita a execução remota de código malicioso ou que o invasor realize ações no computador com privilégios de administrador, por exemplo.
O problema é grave, mas foi corrigido no último Patch Tuesday. Final feliz, certo? Era no que pesquisadores da empresa Sangfor Technologies acreditavam.
Eles estavam preparando um estudo a ser apresentado na edição de agosto do evento Black Hat. A pesquisa trata justamente de vulnerabilidades no spooler de impressão do Windows. Como o problema já estava corrigido, eles decidiram publicar a prova de conceito relacionada à falha, incluindo informações e código para a sua exploração.
A surpresa veio na sequência: a falha que os pesquisadores exploraram é parecida, mas não é a mesma que foi corrigida pela Microsoft. O equívoco fez com que eles divulgassem, sem querer, todos os recursos necessários para uma falha zero-day (ainda não corrigida) ser explorada por invasores.
Até que a Sangfor foi rápida em remover o código divulgado por engano. Mas já era tarde. Cópias apareceram em repositórios e outras plataformas online sem demora. Há relatos de que o problema já vem sendo explorado. O código pode ser útil para grupos de ransomware, por exemplo.
O novo problema foi identificado como CVE-2021-34527.
Falha ainda não tem correção
Por ter sido descoberta recentemente, a falha ainda está sob investigação. Parece que a correção para a vulnerabilidade CVE-2021-1675 pode proteger o Windows do PrintNightmare, mas não se o computador executar a função de controlador de domínio, ou seja, atuar como um servidor que gerencia solicitações de autenticação.
A Microsoft admitiu que a vulnerabilidade está presente em todas as versões do Windows, mas ainda não está claro se o problema se manifesta apenas nas versões para servidores do sistema operacional (Windows Server) — tudo indica que sim.
Enquanto esperam pela correção, administradores podem proteger o sistema desativando o spooler de impressão do Windows ou, se isso não for possível, limitando ao máximo o acesso ao serviço de impressão.
Com informações: BleepingComputer, The Register.
Falha grave no Windows é explorada graças a código liberado por engano
0 Commentaires