Patch de emergência da Microsoft não corrige totalmente a vulnerabilidade do PrintNightmare RCE

Mesmo com a expansão da Microsoft de patches para a chamada vulnerabilidade PrintNightmare para Windows 10 versão 1607, Windows Server 2012 e Windows Server 2016, descobriu-se que a correção para a exploração de execução remota de código no serviço Windows Print Spooler pode ser contornada em certos cenários, derrotando efetivamente as proteções de segurança e permitindo que invasores executem códigos arbitrários em sistemas infectados.

Na terça-feira, o fabricante do Windows emitiu uma atualização de emergência para abordar o CVE-2021-34527 (pontuação CVSS: 8,8) depois que a falha foi acidentalmente divulgada por pesquisadores da empresa de segurança cibernética Sangfor com sede em Hong Kong no final do mês passado, na qual ponto, descobriu-se que o problema era diferente de outro bug – rastreado como CVE-2021-1675 – que foi corrigido pela Microsoft em 8 de junho.

“Vários dias atrás, duas vulnerabilidades de segurança foram encontradas no mecanismo de impressão existente do Microsoft Windows”, disse Yaniv Balmas, chefe de pesquisa cibernética da Check Point, ao The Hacker News. “Essas vulnerabilidades permitem que um invasor mal-intencionado obtenha controle total sobre todos os ambientes do Windows que permitem a impressão.”

“A maioria são estações de trabalho, mas, às vezes, isso se relaciona a servidores inteiros que são parte integrante de redes organizacionais muito populares. A Microsoft classificou essas vulnerabilidades como críticas, mas quando foram publicadas, só conseguiram corrigir uma delas, deixando a porta se abre para explorações da segunda vulnerabilidade “, acrescentou Balmas.

O PrintNightmare se origina de bugs no serviço Windows Print Spooler , que gerencia o processo de impressão em redes locais. A principal preocupação com a ameaça é que os usuários não administradores podem carregar seus próprios drivers de impressora. Isso agora foi corrigido.

“Depois de instalar esta [atualização] e atualizações posteriores do Windows, os usuários que não são administradores podem apenas instalar drivers de impressão assinados em um servidor de impressão” , disse a Microsoft , detalhando as melhorias feitas para mitigar os riscos associados à falha. “As credenciais de administrador serão necessárias para instalar drivers de impressora não assinados em um servidor de impressora daqui para frente.”

Após o lançamento da atualização, o analista de vulnerabilidade do CERT / CC Will Dormann advertiu que o patch “parece abordar apenas as variantes Remote Code Execution (RCE via SMB e RPC) do PrintNightmare, e não a variante Local Privilege Escalation (LPE)”, portanto permitindo que os invasores abusem do último para obter privilégios de SISTEMA em sistemas vulneráveis.

Agora, mais testes da atualização revelaram que os exploits que visam a falha podem contornar as correções inteiramente para obter tanto o escalonamento de privilégios locais quanto a execução remota de código. Para conseguir isso, no entanto, uma política do Windows chamada ‘ Restrições de apontar e imprimir ‘ deve ser ativada (Configuração do computador \ Políticas \ Modelos administrativos \ Impressoras: Restrições de apontar e imprimir), usando a qual drivers de impressora maliciosos podem ser potencialmente instalados.

“Observe que a atualização da Microsoft para CVE-2021-34527 não impede efetivamente a exploração de sistemas onde Apontar e imprimir NoWarningNoElevationOnInstall está definido como 1″, disse Dormann na quarta-feira. A Microsoft, por sua vez, explica em seu comunicado que “Apontar e imprimir não está diretamente relacionado a esta vulnerabilidade, mas a tecnologia enfraquece a postura de segurança local de tal forma que a exploração será possível.”

Embora a Microsoft tenha recomendado a opção de interromper e desabilitar o serviço Spooler de Impressão, uma solução alternativa é habilitar os prompts de segurança para Apontar e Imprimir e limitar os privilégios de instalação do driver de impressora apenas aos administradores configurando o valor de registro “RestrictDriverInstallationToAdministrators” para evitar usuários regulares de instalar drivers de impressora em um servidor de impressão.