Os problemas de segurança do Windows Print Spooler continuam. A saga já inclui um exploit descoberto que foi acidentalmente compartilhado, a patch de emergência da Microsoft, e algumas impressoras falhando no trabalho depois de ser atualizado. Agora, um especialista em segurança descobriu outro problema com o Windows Print Spooler.
A nova vulnerabilidade de dia zero no Windows Print Spooler permite que os invasores obtenham privilégios administrativos por meio do recurso ‘Arquivos específicos da fila’, conforme relatado por BleepingComputer.
O pesquisador de segurança Benjamin Delpy compartilhou um vídeo aproveitando a vulnerabilidade.
Se explorada, a nova vulnerabilidade permite que um invasor obtenha privilégios de SISTEMA em um dispositivo direcionado. O ator da ameaça também pode obter acesso limitado a uma rede.
Delpy explicou ao BleepingComputer que o exploit pode ser usado para baixar e executar automaticamente arquivos DLL maliciosos. Um ataque pode então executar qualquer comando em um computador com privilégios de SISTEMA.
Atualmente, existem duas maneiras de atenuar a nova vulnerabilidade da impressora, conforme explicado por BleepingComputer:
- Bloqueie o tráfego de saída de SMB nos limites da sua rede
- Configurar Ponto de Pacote e Lista de Servidores de Impressão
O bloqueio do tráfego SMB de saída evita que invasores usem servidores de impressão remotos, mas não impede que os agentes de ameaças usem servidores de impressão locais.
O BleepingComputer explica que configurar o Package Point and Print Server List é um método melhor porque “Esta política impede que usuários não administrativos instalem drivers de impressão usando o Point and Print, a menos que o servidor de impressão esteja na lista aprovada.”
UMA CERT Advisory entra em detalhes técnicos sobre a vulnerabilidade.