Microsoft diz aos usuários para desligar o spool de impressora para proteção contra exploração de dia zero

A Microsoft emitiu uma série de medidas de mitigação contra uma exploração de dia zero que a empresa de tecnologia diz: "os invasores estão explorando ativamente".

O exploit de dia zero, conhecido como PrintNightmare, explora uma vulnerabilidade no Windows Print Spooler e pode permitir que um invasor execute o código remotamente.

Embora não haja uma correção específica para o PrintNightmare, o comunicado da Microsoft contém duas opções que os usuários podem implantar para proteger seu sistema contra exploits potencialmente perigosos.

PrintNightmare é o trabalho de impressão do inferno

O spooler de impressão é um serviço de software do Windows que gerencia os processos de impressão do sistema. Quando você clica em imprimir, o spooler pega o trabalho de impressão recebido do software (ou sistema operacional) e garante que a impressora e seus recursos (papel, tinta etc.) estejam prontos para ação. Quando você envia vários trabalhos de impressão, o spooler os coloca na fila e gerencia a saída da impressora.

O serviço de spooler de impressão tem acesso a todo o sistema. Embora pareça inócuo, pode tornar esse serviço um alvo para invasores que procuram atacar recursos com privilégios de todo o sistema.

Neste caso, a empresa de segurança chinesa Sangfor publicou acidentalmente um exploit de prova de conceito para um ataque de dia zero para sua página GitHub. A empresa retirou o código imediatamente, mas não antes de ser bifurcado e copiado para o ambiente.

PrintNightmare, rastreado como CVE-2021-34527, é uma vulnerabilidade de execução remota de código. Isso significa que, se um invasor explorasse a vulnerabilidade, ele poderia teoricamente executar código malicioso em um sistema de destino. Embora você possa ser o principal alvo de tal exploração, bilhões de computadores e servidores em todo o mundo usam o Microsoft Print Spooler, e é por isso que o PrintNightmare está causando esses problemas.

Relacionado: O melhor software antivírus gratuito

A Microsoft aconselha cautelosamente a desativação do serviço de spooler de impressão

Até que uma correção específica seja encontrada, Microsoft aconselha usuários, empresas e organizações desabilitem o serviço de spooler de impressão em qualquer servidor que não o exija.

Existem duas maneiras pelas quais as organizações podem desabilitar o serviço Print Spooler: via PowerShell ou por meio da Política de Grupo.

PowerShell

1. Abrir PowerShell.
2. Entrada Stop-Service -Name Spooler -Force
3. Entrada Set-Service -Name Spooler -StartupType desativado

Política de grupo

1. Abra o Editor de Política de Grupo(gpedit.msc)
2. Navegue até Configuração do computador / Modelos administrativos / Impressoras
3. Localize o Permitir que o spooler de impressão aceite conexões de cliente política
4. Definido como Desativar> Aplicar

A Microsoft não é a única organização aconselhando os usuários a desativar os serviços de spool de impressão sempre que possível. CISA também liberado uma declaração aconselhando uma política semelhante, incentivando "os administradores a desabilitar o serviço de spooler de impressão do Windows em controladores de domínio e sistemas que não imprimem".

Embora a Microsoft esteja reeditando este conselho sobre PrintNightmare, a empresa aconselha esta política em todos os momentos para se proteger contra intrusões inesperadas por meio desse método. Desativar o serviço Spool de impressão usando uma Política de Grupo é a melhor maneira de garantir a segurança de todo o domínio.

Noções básicas sobre malware: dez tipos comuns que você deve conhecer

Aprenda sobre os tipos comuns de malware e suas diferenças, para que você possa entender como funcionam os vírus, cavalos de Troia e outros malwares.

Leia a seguir

Sobre o autor