A Microsoft emitiu uma série de medidas de mitigação contra uma exploração de dia zero que a empresa de tecnologia diz: "os invasores estão explorando ativamente".
O exploit de dia zero, conhecido como PrintNightmare, explora uma vulnerabilidade no Windows Print Spooler e pode permitir que um invasor execute o código remotamente.
Embora não haja uma correção específica para o PrintNightmare, o comunicado da Microsoft contém duas opções que os usuários podem implantar para proteger seu sistema contra exploits potencialmente perigosos.
PrintNightmare é o trabalho de impressão do inferno
O spooler de impressão é um serviço de software do Windows que gerencia os processos de impressão do sistema. Quando você clica em imprimir, o spooler pega o trabalho de impressão recebido do software (ou sistema operacional) e garante que a impressora e seus recursos (papel, tinta etc.) estejam prontos para ação. Quando você envia vários trabalhos de impressão, o spooler os coloca na fila e gerencia a saída da impressora.
O serviço de spooler de impressão tem acesso a todo o sistema. Embora pareça inócuo, pode tornar esse serviço um alvo para invasores que procuram atacar recursos com privilégios de todo o sistema.
Neste caso, a empresa de segurança chinesa Sangfor publicou acidentalmente um exploit de prova de conceito para um ataque de dia zero para sua página GitHub. A empresa retirou o código imediatamente, mas não antes de ser bifurcado e copiado para o ambiente.
PrintNightmare, rastreado como CVE-2021-34527, é uma vulnerabilidade de execução remota de código. Isso significa que, se um invasor explorasse a vulnerabilidade, ele poderia teoricamente executar código malicioso em um sistema de destino. Embora você possa ser o principal alvo de tal exploração, bilhões de computadores e servidores em todo o mundo usam o Microsoft Print Spooler, e é por isso que o PrintNightmare está causando esses problemas.
Relacionado: O melhor software antivírus gratuito
A Microsoft aconselha cautelosamente a desativação do serviço de spooler de impressão
Até que uma correção específica seja encontrada, Microsoft aconselha usuários, empresas e organizações desabilitem o serviço de spooler de impressão em qualquer servidor que não o exija.
Existem duas maneiras pelas quais as organizações podem desabilitar o serviço Print Spooler: via PowerShell ou por meio da Política de Grupo.
PowerShell
- Abrir PowerShell.
- Entrada Stop-Service -Name Spooler -Force
- Entrada Set-Service -Name Spooler -StartupType desativado
Política de grupo
- Abra o Editor de Política de Grupo(gpedit.msc)
- Navegue até Configuração do computador / Modelos administrativos / Impressoras
- Localize o Permitir que o spooler de impressão aceite conexões de cliente política
- Definido como Desativar> Aplicar
A Microsoft não é a única organização aconselhando os usuários a desativar os serviços de spool de impressão sempre que possível. CISA também liberado uma declaração aconselhando uma política semelhante, incentivando "os administradores a desabilitar o serviço de spooler de impressão do Windows em controladores de domínio e sistemas que não imprimem".
Embora a Microsoft esteja reeditando este conselho sobre PrintNightmare, a empresa aconselha esta política em todos os momentos para se proteger contra intrusões inesperadas por meio desse método. Desativar o serviço Spool de impressão usando uma Política de Grupo é a melhor maneira de garantir a segurança de todo o domínio.
Aprenda sobre os tipos comuns de malware e suas diferenças, para que você possa entender como funcionam os vírus, cavalos de Troia e outros malwares.
Leia a seguir
- janelas
- Notícias de tecnologia
- Impressão
- Malware
- Porta dos fundos
Gavin é o Editor Júnior do Windows and Technology Explained, um colaborador regular do Podcast Really Useful e um revisor regular do produto. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas técnicas, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme seu endereço de e-mail no e-mail que acabamos de enviar.