CERT insta os administradores a desabilitar o serviço de spooler de impressão do Windows em controladores de domínio e sistemas que não imprimem, enquanto a Microsoft tenta esclarecer o bug de RCE com uma nova atribuição CVE.

O governo dos EUA interveio para oferecer uma atenuação para uma vulnerabilidade de execução remota de código (RCE) crítica no serviço Windows Print Spooler que pode não ter sido totalmente corrigida pelo esforço inicial da Microsoft para corrigi-la.

Para mitigar o bug, apelidado de PrintNightmare, o CERT Coordination Center (CERT / CC) lançou um VulNote para CVE-2021-1675 instando os administradores de sistema a desabilitar o serviço Windows Print Spooler em controladores de domínio e sistemas que não imprimem, a Cybersecurity Infratructure and Security Administration (CISA) disse em um comunicado quinta-feira. CERT / CC faz parte do Software Engineering Institute, um centro de pesquisa financiado pelo governo federal e operado pela Carnegie Mellon University.

“Embora a Microsoft tenha lançado uma atualização para CVE-2021-1675, é importante perceber que esta atualização NÃO protege os controladores de domínio do Active Directory ou sistemas que possuem Point and Print configurado com a opção NoWarningNoElevationOnInstall configurada”, escreveram pesquisadores do CERT / CC na nota.

A mitigação é em resposta a um cenário que se desenrolou no início desta semana, quando uma prova de conceito (POC) para PrintNightmare foi descartada no GitHub na terça-feira. Embora tenha sido retirado do ar em algumas horas, o código foi copiado e permanece em circulação na plataforma. Um invasor pode usar a POC para explorar a vulnerabilidade e assumir o controle de um sistema afetado.

Nesse ínterim, a Microsoft divulgou um novo comunicado próprio sobre o PrintNightmare que atribui um novo CVE e parece sugerir um novo vetor de ataque enquanto tenta esclarecer a confusão que surgiu sobre ele.

Enquanto a empresa originalmente abordou o CVE-2021-1675 nas atualizações do Patch de junho como uma vulnerabilidade de elevação de privilégio menor, a lista foi atualizada na semana passada depois que pesquisadores do Tencent e NSFOCUS TIANJI Lab descobriram que ela poderia ser usada para RCE.

No entanto, logo depois ficou claro para muitos especialistas que o patch parece falhar contra o aspecto RCE do bug – daí a oferta da CISA de outra atenuação e a atualização da Microsoft.

Atribuição de um novo CVE?

Em relação a este último, a empresa publicou um aviso na quinta-feira sobre um bug chamado “Vulnerabilidade de execução remota de código do Windows Print Spooler” que parece ser a mesma vulnerabilidade, mas com um número CVE diferente – neste caso, CVE-2021-34527.

A descrição do bug soa como PrintNightmare; de fato, a Microsoft reconhece que é “uma situação em evolução.

“Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa indevidamente operações de arquivos com privilégios”, de acordo com o aviso. “Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos totais de usuário. ”

Em uma seção “FAQ” na atualização de segurança, a Microsoft tenta explicar a conexão do CVE-2021-34527 com o CVE-2021-1675.

“É esta a vulnerabilidade que foi referida publicamente como PrintNightmare? Sim, a Microsoft atribuiu o CVE-2021-34527 a esta vulnerabilidade ”, escreveu a empresa.

No entanto, a resposta para a pergunta “Esta vulnerabilidade está relacionada ao CVE-2021-1675?” sugere que CVE-2021-34527 é um problema diferente.

A Microsoft continua explicando que o CVE-2021-34527 existia antes das atualizações do Patch de junho e que isso afeta os controladores de domínio em “todas as versões do Windows”.

“Ainda estamos investigando se todas as versões podem ser exploradas”, escreveu a empresa. “Atualizaremos este CVE quando essa informação for evidente.”

A Microsoft não atribuiu uma pontuação ao CVE-2021-34527, citando sua investigação em andamento.

Duas vulnerabilidades?

Em retrospecto, um pesquisador de segurança notou ao Threatpost quando a notícia do PrintNightmare veio à tona na terça-feira que era “curioso” que o CVE para a vulnerabilidade original fosse “-1675”, observando que “a maioria dos CVEs que a Microsoft corrigiu em junho são -31000 e superiores . ”

“Isso pode ser um indicador de que eles sabem sobre esse bug há algum tempo, e abordá-lo totalmente não é trivial”, disse Dustin Childs da Zero Day Initiative da Trend Micro à Threatpost na época.

Agora parece que talvez a Microsoft esteja corrigindo apenas parte de uma vulnerabilidade mais complexa. O cenário provável parece ser que há dois bugs no Spooler de Impressão do Windows que podem oferecer aos invasores algum tipo de cadeia de exploração ou ser usados ​​separadamente para assumir o controle de sistemas.

Embora uma falha possa de fato ter sido corrigida na atualização da Patch Tuesday de junho, a outra pode ser atenuada pela solução alternativa do CERT / CC – ou pode permanecer para ser corrigida por uma futura atualização da Microsoft que virá após a empresa concluir sua investigação.

O lançamento da empresa de um novo CVE relacionado ao PrintNightmare parece ser uma tentativa inicial de esclarecer a situação, embora, devido à sua natureza em desenvolvimento, permaneça um pouco nebuloso por enquanto.

Fonte: CISA Offers New Mitigation for PrintNightmare Bug

Posts relacionados: CISA lança consultoria conjunta sobre abordagens para descobrir e corrigir atividades maliciosas / CISA divulga dicas de como orientar crianças em ambientes online e Centenas de milhões de usuários Dell em risco devido a bugs relacionados a privilégios do Kernel