Pesquisador descobre forma de burlar patch de segurança do Windows

Views: 341
0 0
Read Time:1 Minute, 37 Second

Após a Microsoft lançar uma atualização de segurança, no início de julho, para corrigir a vulnerabilidade conhecida como PrintNightmare, especialistas estão descobrindo maneiras de contornar o patch sob certas condições.

Recentemente, Benjamin Delpy, pesquisador de segurança e criador da popular ferramenta Mimikatz, encontrou um jeito de explorar a vulnerabilidade no Windows Print Spooler para permitir que qualquer usuário ganhe privilégios de administrador em um computador vulnerável.

Como burlar o patch do Windows

A solução alternativa tira vantagem do fato de que o Windows não impede que usuários limitados instalem drivers de impressora. Além disso, o sistema operacional não reclamará quando esses drivers forem obtidos de servidores de impressão remotos e, em seguida, realizará a execução com o nível de privilégio Sistema.

O método permite que qualquer pessoa, incluindo os hackers, obtenha privilégios administrativos simplesmente instalando o driver de impressão remoto. Com isso, os invasores podem executar qualquer comando, adicionar usuários ou instalar qualquer software, dando-lhes efetivamente o controle completo sobre o computador.

A intenção de Delpy é pressionar “a Microsoft a estabelecer algumas prioridades” para consertar o bug. No entanto, o pesquisador afirma que é impossível identificar quais endereços IP pertencem a pesquisadores ou hackers.

Reduzindo os riscos de invasão

A nova vulnerabilidade pode ser atenuada, reduzindo os riscos de invasão do sistema. Em comunicado do Centro de Coordenação do Instituto de Engenharia de Software da Universidade de Carnegie Mellon, o analista de vulnerabilidade Will Dormann dá as seguintes dicas:

  • Pare e desative o serviço Spooler de impressão.
  • Desative a impressão remota de entrada por meio da Política de Grupo.
  • Bloqueie as portas RPC e SMB no firewall.
  • Ative os prompts de segurança para apontar e imprimir.
  • Restrinja a capacidade de instalação do driver da impressora aos administradores.

Essas ações oferecem a melhor proteção contra a vulnerabilidade conhecida, mas não impedirá que um hacker assuma o controle de um servidor de impressão permitido com drivers maliciosos.

FONTE: TECMUNDO

POSTS RELACIONADOS