Categories:

Bug PrintNightmare PERIGO! Desative já essa Função do Windows !

O bug “PrintNightmare” pode não estar totalmente corrigido, alertam alguns especialistas, deixando a porta aberta para ataques generalizados de execução remota de código.

ATUALIZAR

Uma prova de conceito para uma vulnerabilidade crítica de segurança do Windows que permite a execução remota de código (RCE) foi descartada no GitHub na terça-feira – e embora tenha sido removida em poucas horas, o código foi copiado e ainda está circulando no a plataforma.

O bug ( CVE-2021-1675 ) existe no Windows Print Spooler e foi apelidado de “PrintNightmare” pelos pesquisadores. Ele foi originalmente abordado nas atualizações da Patch Tuesday de junho da Microsoft como uma pequena vulnerabilidade de elevação de privilégio, mas a lista foi atualizada na semana passada depois que pesquisadores da Tencent e NSFOCUS TIANJI Lab descobriram que ela poderia ser usada para RCE. O patch, de acordo com muitos, parece falhar no aspecto RCE do bug.

“Existem 40 entradas na lista de produtos afetados da Microsoft, do Windows 7 ao Windows 10 e do Server 2008 ao Server 2019”, disse Dirk Schrader, vice-presidente global de pesquisa de segurança da New Net Technologies (NNT), agora parte da Netwrix. Poste de ameaça. “Dada essa ampla superfície, é provável que essa vulnerabilidade se torne um elemento na cadeia de ferramentas das famílias de malware atuais.”

No domingo, a equipe de segurança QiAnXin tweetou um vídeo mostrando um RCE bem-sucedido – mas não conteve todos os detalhes técnicos ou PoC. Dois dias depois, no entanto, um PoC completo com uma análise técnica completa apareceu no GitHub, de autoria de outra empresa de segurança, a Sangfor.

Claire Tills, engenheira de segurança sênior da Tenable, que identificou a postagem de PoC, observou que “o repositório GitHub ficou disponível publicamente por tempo suficiente para que outros o clonassem. A PoC provavelmente ainda está circulando e deve ressurgir publicamente, se ainda não o fez. ”

E, de fato, de acordo com um profissional de segurança, o código foi bifurcado com sucesso para outra página.

Deve-se notar que algumas fontes também estão dizendo que o patch existente da Microsoft não corrige a versão RCE. A implementação do Cube0x0’a impacket acima, por exemplo, funciona em uma máquina Windows totalmente corrigida, disseram os autores .

“Ainda estamos avaliando a eficácia do patch, mas há vários relatórios indicando que o código de prova de conceito funciona contra sistemas totalmente corrigidos”, disse Dustin Childs, da Zero Day Initiative da Trend Micro, ao Threatpost. “Isso indica que o patch lançado em junho não resolve completamente a causa raiz do bug. De qualquer forma, as empresas devem tratar isso como uma correção incompleta e implementar outras soluções alternativas, como desativar o spooler de impressão e bloquear as portas TCP 135 e 445 no perímetro. ”

Ele também anotou a nomenclatura CVE da Microsoft: “É curioso que o CVE aqui seja -1675, enquanto a maioria dos CVEs que a Microsoft corrigiu em junho são -31000 e superiores. Isso pode ser um indicador de que eles sabem sobre esse bug há algum tempo, e abordá-lo totalmente não é trivial. ”

Ryan Garbars, engenheiro de segurança de aplicativos da Automox, disse ao Threatpost que sua equipe estava trabalhando na replicação do exploit em uma máquina corrigida.

“Numerosas fontes afirmam que a vulnerabilidade PrintNightmare não é CVE-2021-1675, indicando que o patch mais recente do Windows não protegerá contra a vulnerabilidade”, disse ele. “Para se certificar de que seu ambiente está protegido contra esta vulnerabilidade, os usuários devem desabilitar o serviço Spooler em seu ambiente, se possível.”

Enquanto isso, os pesquisadores do Rapid7 observaram que “confirmaram que as explorações públicas funcionam contra instalações do Windows Server 2019 totalmente corrigidas”.

PrintNightmare: Full Remote Takeover

A exploração bem-sucedida do CVE-2021-1675 pode abrir a porta para a completa tomada de controle do sistema por adversários remotos. No entanto, para conseguir isso, é necessário que um usuário-alvo seja autenticado no serviço Spooler.

“Esta vulnerabilidade pode fornecer acesso de domínio total a um controlador de domínio em um contexto de SISTEMA”, Marius Sandbu, líder da guilda para nuvem pública na TietoEVRY, acrescentou em um artigo de quarta –  feira, “Para poder usar este exploit, é necessário que você se autentique como um usuário de domínio. ”

Tillis, da Tenable, acrescentou: “Com base nas informações disponíveis, um invasor com uma conta de usuário de baixo nível pode explorar esta vulnerabilidade … e pivotar para outras áreas da rede alvo. A conta de baixo nível pode ser obtida por meio de uma vulnerabilidade adicional ou até mesmo de um ataque de phishing. ”

“A vulnerabilidade PrintNightmare pode ser utilizada para realizar escalonamento de privilégios locais e execução remota de código em ambientes Windows por meio do serviço Spooler, explorando a chamada RpcAddPrinterDriver, permitindo que uma DLL arbitrária seja carregada no sistema remoto ou como um usuário escalado”, Automox – Garber contou ao Threatpost. “Para explorar a parte da vulnerabilidade de execução remota de código, é necessário que um usuário se autentique no serviço Spooler no sistema de destino. Considerando que é comum ter o serviço Spooler habilitado na maioria dos sistemas Windows em um ambiente de domínio padrão, essa vulnerabilidade é muito perigosa e pode permitir que um invasor obtenha facilmente a execução remota de código por meio do ambiente Windows com um único conjunto de credenciais. ”

A Microsoft atualizou seu comunicado para observar o potencial para RCE, mas não atualizou a classificação CVSS, apesar de observar que a exploração exigiria “baixa complexidade”. Por sua vez, os pesquisadores estão tratando o PrintNightmare como tendo um status “crítico”.

“É interessante notar que a Microsoft não alterou a classificação do CVSS quando revisou seu comunicado para indicar que isso poderia levar à execução remota de código”, disse Childs, acrescentando que o bug agora é “bastante grave”. Ele acrescentou: “Eu trataria isso como um bug de classificação crítica”.

Sem autenticação, a falha pode ser explorada para elevar os privilégios, tornando esta vulnerabilidade um elo valioso em uma cadeia de ataque”, observou Tillis.

A equipe da Sangfor (pesquisadores Zhiniang Peng e Xuefeng Li) disse em sua postagem no GitHub (a versão copiada está aqui ) que no ambiente do controlador de domínio (DC), o serviço Print Spooler está normalmente habilitado, então o comprometimento de qualquer usuário DC pode provavelmente resultará em RCE.

Mais erros e explorações do spooler de impressão em breve

Eles também alegaram ter encontrado “mais bombas escondidas” no Print Spooler, que planejam revelar na Black Hat em agosto.

“O Windows Print Spooler tem um longo histórico de vulnerabilidades e sua onipresença pode permitir um sério impacto sobre os alvos”, observou Tillis no artigo da Tenable na terça-feira . “Mais notavelmente, as vulnerabilidades do Print Spooler estavam ligadas aos ataques do Stuxnet há mais de uma década. Mais recentemente, CVE-2020-1337 foi um dia zero no spooler de impressão divulgado nos eventos Black Hat e DEF CON do ano passado, que passou a ser um desvio de patch para CVE-2020-1048, outra vulnerabilidade do Windows Print Spooler que foi corrigida Maio de 2020. ”

“Como o código de prova de conceito vazou online em vários locais, espere isso, mas será embrulhado em exploits ativos em breve”, disse Childs. “Essa ameaça provavelmente aumentará depois do Black Hat, quando os pesquisadores apresentarem suas descobertas sobre os bugs.”

O patch pode não ser totalmente eficaz, mas há atenuações, como colocar o Spooler de impressão off-line. E, “deve-se observar que a maioria dos endpoints estarão protegidos contra esse ataque com as regras padrão do Firewall do Windows embutidas”, disse Sandbu.

Schrader acrescentou que os usuários devem verificar regularmente a integridade do sistema e controlar as alterações.

“Como a vulnerabilidade dá a um invasor controle total em relação à confidencialidade, integridade e disponibilidade, os usuários também devem ter cuidado com seus dados confidenciais”, disse ele.

Este artigo foi atualizado às 15h, horário do leste dos EUA, em 30 de junho, com informações adicionais de pesquisadores de segurança.