A Microsoft reconheceu uma nova vulnerabilidade de segurança conhecida publicamente como “PrintNightmare” que afeta a impressora do Windows. A vulnerabilidade de execução remota de código afeta o Windows Print Spooler. A empresa está investigando esta vulnerabilidade e ofereceu uma solução alternativa para ser protegida da exploração desta vulnerabilidade.
A Microsoft atribuiu CVE-2021-34527 a esta vulnerabilidade. Leia o resumo executivo abaixo.
A Microsoft está ciente e investigando uma vulnerabilidade de execução remota de código que afeta o Windows Print Spooler e atribuiu o CVE-2021-34527 a essa vulnerabilidade. Esta é uma situação em evolução e iremos atualizar o CVE à medida que mais informações estiverem disponíveis.
Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa incorretamente operações de arquivo com privilégios. Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos de usuário totais.
Um ataque deve envolver um usuário autenticado chamando RpcAddPrinterDriverEx ().
Certifique-se de ter aplicado as atualizações de segurança lançadas em 8 de junho de 2021 e consulte as seções Perguntas frequentes e solução alternativa neste CVE para obter informações sobre como ajudar a proteger seu sistema contra esta vulnerabilidade.
Aqui estão as soluções alternativas sugeridas pela Microsoft para manter seu sistema protegido.
Soluções Alternativas
Determine se o serviço Spooler de Impressão está em execução (execute como Admin de Domínio)
Execute o seguinte como um administrador de domínio:
Get-Service -Name Spooler
Se o Spooler de Impressão estiver em execução ou se o serviço não estiver definido como desabilitado, selecione uma das seguintes opções para desabilitar o serviço Spooler de Impressão ou Desabilitar a impressão remota de entrada por meio da Política de Grupo:
Opção 1 – Desativar o serviço de spooler de impressão
Se desativar o serviço Spooler de impressão for apropriado para sua empresa, use os seguintes comandos do PowerShell:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Impacto da solução alternativa A desativação do serviço Spooler de impressão desativa a capacidade de imprimir local e remotamente.
Opção 2 – Desative a impressão remota de entrada por meio da Política de Grupo
Você também pode definir as configurações por meio da Política de Grupo da seguinte maneira:
Configuração do computador / Modelos administrativos / Impressoras
Desative a política “Permitir que o spooler de impressão aceite conexões de cliente:” para bloquear ataques remotos.
Impacto da solução alternativa Esta política bloqueará o vetor de ataque remoto, evitando operações de impressão remota de entrada. O sistema não funcionará mais como um servidor de impressão, mas a impressão local em um dispositivo conectado diretamente ainda será possível.
Para mais informações, veja: Use as configurações de Política de Grupo para controlar impressoras.