A Microsoft lançou uma atualização de emergência na última quarta-feira (07) para corrigir uma vulnerabilidade no serviço Windows Print Spooler que está sendo explorado ativamente. Chamada PrintNightmare, a vulnerabilidade zero-day afeta todas as versões do sistema operacional Microsoft Windows a partir do Windows 7 em diante.
Registrada como CVE-2021-34527, a falha de execução remota de código (remote code execution ou RCE) foi classificada como de alta gravidade e recebeu uma pontuação de 8,2 de 10 na escala Common Vulnerability Scoring System (CVSS). A vulnerabilidade foi considerada tão grave que a Microsoft decidiu lançar um patch out-of-band, ao invés de esperar pelo lançamento de seu pacote de atualizações usual que ocorre na segunda terça-feira de cada mês, mais conhecido como Patch Tuesday.
“A vulnerabilidade de execução remota de código passa a existir quando o serviço Windows Print Spooler executa incorretamente operações com arquivos privilegiados. Caso um cibercriminoso explore essa vulnerabilidade, ele pode executar código arbitrário com privilégios de sistema. Desta forma, um atacante também pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com todas as permissões de usuário”, destaca a descrição da vulnerabilidade feita pela Microsoft.
A atualização mais recente foi lançada para corrigir versões do Windows que não foram incluídas na atualização out-of-band anterior lançada no último dia 06 de julho, como Windows Server 2012, Windows Server 2016 e Windows 10, versão 1607.
No entanto, alguns pesquisadores notaram rapidamente que o patch não corrige completamente a vulnerabilidade. Na verdade, o gigante da tecnologia de Redmond também observou que, sob certas circunstâncias, os sistemas permanecerão vulneráveis: "Ter NoWarningNoElevationOnInstall definido como 1 torna seu sistema vulnerável por design." No entanto, a empresa também postou soluções alternativas para a falha.
O primeiro workaround está enfocado em desabilitar o serviço de spooler, impedindo que os usuários possam imprimir tanto de forma local como remota. Enquanto isso, o segundo orienta os administradores e usuários a desabilitar a impressão remota de entrada por meio da Política de grupo. Isso bloqueará ataques remotos, evitando operações de impressão remota de entrada, mas o sistema não funcionará mais como um servidor de impressão. No entanto, ainda será possível imprimir por meio de dispositivos conectados diretamente.
A vulnerabilidade remonta ao fim do mês de junho, quando um grupo de pesquisadores publicou um exploit de prova de conceito (proof-of-concept ou PoC), acreditando erroneamente que o problema havia sido corrigido. A confusão foi devido a uma vulnerabilidade semelhante (CVE-2021-1675) que também afeta o serviço de spooler.
A orientação é que os administradores e usuários instalem o patch em seus sistemas o mais rápido possível. As atualizações podem ser encontradas em todos os canais de lançamento comuns, como Windows Update, Microsoft Update Catalog e Windows Server Update Services.