CISA: Desative o Windows Print Spooler em servidores não usados para impressão
A Cybersecurity and Infrastructure Security Agency (CISA) emitiu uma notificação sobre a vulnerabilidade crítica de dia zero do PrintNightmare e aconselha os administradores a desabilitar o serviço Windows Print Spooler em servidores não usados para impressão .
“CISA encoraja os administradores para desativar o serviço de spooler de impressão do Windows em Controladores e sistemas de domínio que não imprimem”, a agência federal norte-americano disse .
“Além disso, os administradores devem empregar as seguintes práticas recomendadas dos guias de procedimentos da Microsoft, publicados em 11 de janeiro de 2021.”
De acordo com as recomendações da Microsoft, o serviço Print Spooler deve ser desabilitado em todos os controladores de domínio e sistemas de administração do Active Directory por meio de um objeto de política de grupo devido ao aumento da exposição a ataques.
A Microsoft acrescenta que o serviço deve ser desabilitado em todos os servidores que não o exigem para mitigar ataques futuros devido a esses riscos elevados de o serviço de impressão ser visado, uma vez que é habilitado por padrão na maioria dos clientes Windows e plataformas de servidor.
Até que a Microsoft resolva o dia zero do PrintNightmare, desabilitar o serviço Print Spooler é a maneira mais simples de garantir que os atores da ameaça – e grupos de ransomware em particular – não aproveitem a ocasião para violar as redes corporativas.
Dia zero do Windows com exploits públicos
A empresa de segurança chinesa Sangfor vazou acidentalmente um exploit de prova de conceito (PoC) para a vulnerabilidade do Windows Print Spooler de dia zero conhecida como PrintNightmare , que permite que os invasores controlem os servidores afetados por meio da execução remota de código com privilégios SYSTEM.
O vazamento foi causado pela confusão em torno da vulnerabilidade, que os pesquisadores de segurança pensaram ter sido rastreada como CVE-2021-1675, uma falha de escalonamento de privilégios de alta gravidade corrigida no início deste mês pela Microsoft e posteriormente atualizada para execução remota de código crítico.
No entanto, como o cofundador da 0Patch, Mitja Kolsek, descobriu, o exploit publicado para o bug PrintNightmare não visa a vulnerabilidade CVE-2021-1675, mas, em vez disso, uma falha totalmente diferente que também afeta o serviço Windows Print Spooler.
A empresa de consultoria de segurança Lares publicou informações de detecção e correção PrintNightmare no GitHub, junto com detalhes sobre como parar e desabilitar o serviço Print Spooler nas configurações de Política de Grupo ou usando um script PowerShell.
O CERT Coordination Center (CERT / CC) também publicou instruções sobre como interromper e desabilitar o serviço em uma nota de vulnerabilidade separada.
Um vídeo do exploit PrintNightmare em ação criado pelo desenvolvedor do mimikatz Benjamin Delpy está embutido abaixo.