O caso PrintNightmare ganha mais um capítulo em sua história. Depois que a falha foi encontrada no Windows e que pesquisadores acabaram revelando sem querer os códigos para que ela fosse explorada, a Microsoft se apressou em lançar logo um novo patch com correções que acabaria de vez com os ataques. Porém, não foi exatamente isso que aconteceu.
Leia também:
Ex-funcionários da Microsoft detonam Bill Gates e o descrevem como ríspido e de pavio curto
Microsoft apresenta o novo Explorador de Arquivos com cabeçalho redesenhado
Novo patch está incompleto
A Microsoft lançou essa semana um novo pacote com correções que prometia proteger seus usuários conta ataques na vulnerabilidade CVE-2021-34527, que também está sendo conhecida como PrintNightmare, já que ela afeta o scooler de impressão. Porém o problema não foi resolvido inteiramente.
Segundo especialistas, o pacote de correções KB5004945 que foi liberado essa semana para diversos sistemas operacionais da empresa, de fato conseguiu corrigir o bug que permitia que invasores pudessem executar códigos de forma remota, mas ainda existem outros problemas a respeito dessa falha que não foram corrigidos.
Os pesquisadores fazem parte de uma empresa dedicada a estudar e identificar vulnerabilidades como essa, a Hacker House. Segundo eles, a falha ainda existe, e ainda há como invasores explorarem essa falha para conseguir privilégios de administrador nos computadores das vítimas e realizar diversos tipos de ações.
Quem relatou isso foi Matthew Hickey, que é co-fundador da Hacker House, e fez uma postagem no Twitter. Nela, ele confirma que a falha ainda está lá e que ainda é possível passar por cima do novo patch de segurança da Microsoft e explorá-la.
Fully patched Windows 2019 domain controller, popped with 0day exploit (CVE-2021-1675) from a regular Domain User's account giving full SYSTEM privileges. Disable "Print Spooler" service on servers that do not require it. pic.twitter.com/6SUVQYy5Tl
— hackerfantastic.x (@hackerfantastic) June 30, 2021
Ele não foi o único, já que Will Dormann, que é analista de vulnerabilidades do centro de pesquisas CERT/CC, confirmou essas informações, anunciando que a única coisa que foi corrigida com o patch foi o componente que permitia uma execução remota.
Além disso, muitos especialistas que começaram a testar o patch de segurança da Microsoft anunciaram que mesmo a correção inteira ainda é ultrapassada, ou seja, dificilmente conseguirá resolver o problema da execução remota e dos privilégios de administrador.
Benjamin Deply, que é criador de um aplicativo open-source chamado Mimikatz, confirmou essa informação sobre o patch ser ultrapassado e que por isso ele não teria como acessar a falha PrintNightmate de forma completa. Outros especialistas concordam com isso.
https://twitter.com/gentilkiwi/status/1412771368534528001?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1412771368534528001%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.bleepingcomputer.com%2Fnews%2Fmicrosoft%2Fmicrosofts-incomplete-printnightmare-patch-fails-to-fix-vulnerability%2F
Hickey anunciou que a Hacker House recomenda que os usuários desabilitem o spooler de impressão quando ele não for necessário, evitando assim a chance de ataques, ao menos até que uma correção completa seja liberada pela Microsoft.
Relembre o caso
A falha já havia sido descoberta e a Microsoft já estava encaminhando uma correção, porém um grupo de pesquisadores de segurança da Sangfor Technologies acabou divulgando detalhes sobre os códigos e informações de como explorá-la em uma apresentação de estudo.
Mas não foi por maldade, acontece que eles acreditavam que a ultima correção liberada pela Microsoft também englobava essa falha, e por isso acharam que o problema já estava resolvido. Quando eles souberam que não era essa a realidade, rapidamente tiraram as informações da plataforma, porém ela já tinha sido copiada e divulgada em outros locais.
Com uma espécie de “manual para exploração” da falha nas mãos, muitos invasores se aproveitaram da situação. E essa vulnerabilidade pode ser bastante perigosa se for explorada por hackers ou até mesmo grupos que usam ransomware.
Fonte: Bleepingcomputers