Microsoft lança patch de emergência para corrigir 'PrintNightmare'

Já explicamos aqui no TecMundo como uma falha crítica em todas as versões do sistema Windows permite o acesso total ao computador através do serviço Windows Print Spooler. Para corrigir a vulnerabilidade, chamada de PrintNightmare, a Microsoft lançou ontem (6) a atualização de segurança de emergência KB5004945. Porém, segundo o site BleepingComputer, o patch ainda está incompleto.

Rastreado como CVE-2021-34527, o bug de execução remota de código (RCE) possibilita que pessoas mal-intencionadas consigam assumir os servidores afetados. Usando privilégios de administrador, cibercriminosos poderiam instalar programas, exibir, alterar ou excluir dados, além de criar contas com direito total no sistema.

Como atualizar?

Para saber como instalar as atualizações de segurança de emergência out-of-band (fora de época) da Microsoft, basta clicar nos links abaixo, conforme a versão do sistema que você utiliza. A empresa também está distribuindo gradativamente o patch por meio do Windows Update, para facilitar a vida de usuários comuns.

• Windows 10, versões 21H1, 20H1 e 2004 (KB5004945)
• Windows 10, versão 1909 (KB5004946)
• Windows 10, versão 1809 e Windows Server 2019 (KB5004947)
• Windows 10, versão 1507 (KB5004950)
• Windows 8.1 e Windows Server 2012 (Rollup mensal KB5004954 / Só segurança KB5004958)
• Windows 7 SP1 e Windows Server 2008 R2 SP1 (Rollup mensal KB5004953 / Só segurança KB5004951)
• Windows Server 2008 SP2 (Rollup Mensal KB5004955 / Só segurança KB5004959).

A KB5004949, para o Windows 10, version 1803, ainda não está disponível.

O patch da Microsoft só corrige exploração remota

Logo depois que a Microsoft lançou sua atualização fora de época, o pesquisador de segurança Matthew Hickey fez uma importante observação em sua conta do Twitter: o patch só corrige o RCE, mas não um vetor de escalonamento de privilégios locais (LPE), que pode ser utilizado mesmo com os patches de segurança instalados.

It's worth noting that the latest patch for #PrintNightmare (CVE-2021-34527) flaw only addresses the Remote Code Execution (RCE via SMB or RPC) variants and not Local Privilege Escalation (LPE) variant, researchers confirmed.#cybersecurity #hacking

— The Hacker News (@TheHackersNews) July 7, 2021

Isso quer dizer que, embora a correção resolva parcialmente a ameaça, o patch está incompleto, pois hackers ainda poderiam usar a opção LPE para obter privilégios de administrador. Como alternativa, a recomendação da Microsoft é interromper e desabilitar o serviço Spooler de Impressão ou desligar a impressão remota de entrada, desativando a Diretiva de Grupo, para bloquear eventuais ataques remotos.