CVE-2021-1675 é uma vulnerabilidade crítica do Windows com uma prova de conceito disponível que pode permitir que invasores remotos executem códigos. O código PoC foi compartilhado no GitHub no início desta semana, e retirado em poucas horas. Contudo, essas poucas horas foram suficientes para o código ser copiado.
A vulnerabilidade PrintNightmare
A vulnerabilidade foi chamada de PrintNightmare, como existe no Windows Print Spooler. Foi inicialmente abordado em Patch Tuesday do mês passado como um problema de elevação de privilégio insignificante. Contudo, pesquisadores de segurança da Tencent e NSFOCUS TIANJI Lab descobriram que o bug CVE-2021-1675 poderia ser implantado para Ataques RCE, alterando automaticamente seu status para crítico:
Quando foi originalmente divulgado na atualização do Patch Tuesday de junho, foi descrito como uma vulnerabilidade de elevação de privilégio de baixa gravidade. Essa designação foi atualizada em junho 21 para indicar uma gravidade crítica e o potencial para RCE. A descoberta foi creditada a Zhipeng Huo da Tencent Security Xuanwu Lab, Piotr Madej da AFINE e Yunhai Zhang do Laboratório NSFOCUS TIANJI, de acordo com Artigo da Tenable.
De acordo com o pesquisador de segurança Marius Sandbu, “A vulnerabilidade em si é possível porque, O serviço Microsoft Windows Print Spooler não consegue restringir o acesso ao RpcAddPrinterDriverEx() função, que pode permitir que um invasor autenticado remoto execute código arbitrário com privilégios SYSTEM em um sistema vulnerável. ”
Os produtos afetados da Microsoft incluem todos os sistemas operacionais Windows 7 para o Windows 10, e tudo do servidor 2008 Ao servidor 2019, de acordo com Dirk Schrader, vice-presidente global de pesquisa de segurança da New Net Technologies (NNT), que compartilhou sua visão com ThreatPost.
Exploração CVE-2021-1675
A exploração da vulnerabilidade PrintNightmare pode permitir que invasores remotos obtenham controle total sobre os sistemas afetados. A execução remota de código pode ser alcançada visando um usuário autenticado no serviço de spooler.
“Sem autenticação, a falha pode ser explorada para elevar privilégios, tornando esta vulnerabilidade um elo valioso em uma cadeia de ataque,”Tenable adicionado.
Vale ressaltar que este não é o primeiro problema do Windows Print Spooler identificado por pesquisadores. De fato, o serviço tem um longo histórico de vulnerabilidades. Por exemplo, tais falhas foram associadas aos ataques Stuxnet infames.
Um exemplo mais recente inclui CVE-2020-1337, um dia zero no spooler de impressão divulgado durante o Black Hat e DEF CON de 2020. A falha foi um desvio de patch para CVE-2020-1048, outro bug do Windows Print Spooler corrigido em maio 2020.
Os pesquisadores também observam que o patch disponível pode não ser completamente eficaz. Contudo, outras mitigações são possíveis, como tirar o Spooler de Impressão offline. Finalmente, a maioria dos endpoints estaria segura contra a exploração do PrintNightmare com as regras padrão do Firewall do Windows integradas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: