Após a Microsoft lançar uma atualização de segurança, no início de julho, para corrigir a vulnerabilidade conhecida como PrintNightmare, especialistas estão descobrindo maneiras de contornar o patch sob certas condições.
Recentemente, Benjamin Delpy, pesquisador de segurança e criador da popular ferramenta Mimikatz, encontrou um jeito de explorar a vulnerabilidade no Windows Print Spooler para permitir que qualquer usuário ganhe privilégios de administrador em um computador vulnerável.
Como burlar o patch do Windows
A solução alternativa tira vantagem do fato de que o Windows não impede que usuários limitados instalem drivers de impressora. Além disso, o sistema operacional não reclamará quando esses drivers forem obtidos de servidores de impressão remotos e, em seguida, realizará a execução com o nível de privilégio Sistema.
O método permite que qualquer pessoa, incluindo os hackers, obtenha privilégios administrativos simplesmente instalando o driver de impressão remoto. Com isso, os invasores podem executar qualquer comando, adicionar usuários ou instalar qualquer software, dando-lhes efetivamente o controle completo sobre o computador.
A intenção de Delpy é pressionar “a Microsoft a estabelecer algumas prioridades” para consertar o bug. No entanto, o pesquisador afirma que é impossível identificar quais endereços IP pertencem a pesquisadores ou hackers.
Reduzindo os riscos de invasão
A nova vulnerabilidade pode ser atenuada, reduzindo os riscos de invasão do sistema. Em comunicado do Centro de Coordenação do Instituto de Engenharia de Software da Universidade de Carnegie Mellon, o analista de vulnerabilidade Will Dormann dá as seguintes dicas:
- Pare e desative o serviço Spooler de impressão.
- Desative a impressão remota de entrada por meio da Política de Grupo.
- Bloqueie as portas RPC e SMB no firewall.
- Ative os prompts de segurança para apontar e imprimir.
- Restrinja a capacidade de instalação do driver da impressora aos administradores.
Essas ações oferecem a melhor proteção contra a vulnerabilidade conhecida, mas não impedirá que um hacker assuma o controle de um servidor de impressão permitido com drivers maliciosos.
FONTE: TECMUNDO