Na última terça-feira (06), a Microsoft
começou a liberar um patch
que, teoricamente, corrigiria uma grave falha de segurança
no spooler de impressão do Windows
. Mas a vulnerabilidade CVE-2021-34527, apelidada de “PrintNightmare” e que permite a execução remota de códigos maliciosos, não foi resolvida por completo, de acordo com diversos especialistas.
O patch de emergência KB5004945 foi liberado para diversos sistemas operacionais da Microsoft e corrigiu o bug que permitia a execução remota de códigos. Porém, esse é apenas parte do problema.
Patch é incompleto e pode ser ultrapassado
Segundo pesquisadores em segurança digital da Hacker House, empresa dedicada a identificar e notificar esse tipo de vulnerabilidade, a falha ainda existe e permite que possíveis invasores realizem ações no computador com privilégios de administrador.
Matthew Hickey, co-fundador da Hacker House, apontou a permanência do bug no Twitter, demonstrando que é possível ultrapassar o patch de segurança da Microsoft para conseguir privilégios administrativos. Outro analista de vulnerabilidades para o centro de pesquisas CERT/CC, Will Dormann, corroborou com as afirmações de Hickey, determinando que somente o componente de execução remota havia sido corrigido.
Contudo, o problema pode ser ainda maior. Conforme mais pesquisadores e analistas começaram a testar o patch de segurança da Microsoft, foi determinado que a correção inteira ainda pode ser ultrapassada para acessar ambas as falhas sobre os privilégios administrativos e a execução remota de códigos.
O criador do app open-source Mimikatz, Benjamin Delpy, afirmou que o patch de emergência pode ser ultrapassado para acessar completamente a “PrintNightmare” através do spooler de impressão do Windows. Posteriormente, Dormann também confirmou a extensão da vulnerabilidade no Twitter. Hickey disse ao BleepingComputer
que a Hacker House está recomendando desabilitar o spooler de impressão sempre que ele não é necessário até que uma “correção apropriada” seja implementada.
Falha foi divulgada por engano
A falha por si só já é grave, mas ela foi explorada devido a uma prova de conceito, que incluía detalhes do código, divulgada por engano por pesquisadores de segurança da Sangfor Technologies enquanto preparavam a apresentação de um estudo. Eles acreditavam que a falha já havia sido corrigida pela Microsoft , mas acabaram divulgando o “manual” completo do bug na internet. Trata-se de uma brecha especialmente perigosa nas mãos de hackers e grupos de ransomware.