Home / Artigo / Printnightmare: O que é e como mitigar?
PrintNightmare: O que é e como mitigar?

Printnightmare: O que é e como mitigar?

A comunidade de segurança da informação está em pânico com a descoberta de uma vulnerabilidade que pode se tornar um vetor para um novo wannacry. Com o patche lançado no final do dia 06 de julho, mas não para todos os sistemas operacionais Microsoft Windows, a falha com apelidada de PrintNightmare com a CVE-2021-34527 é uma vulnerabilidade que afeta o serviço de impressão que vem nativo nos sistemas operacionais Windows.

A grande preocupação é que está vulnerabilidade é muito fácil de explorar e já existem disponíveis na Internet para download exploits que permitirão com que mesmo alguém sem muito conhecimento consiga invadir um sistema operacional da Microsoft, e até mesmo que um ransomware utilize esta vulnerabilidade para atacar um pessoal ou empresa.

Esta vulnerabilidade permite com que um ator de ameaça acesse escale privilégio ou acesse remotamente um sistema operacional da Microsoft Windows, obtendo os mais altos privilégios administrativos. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; isto é, terá controle total do ambiente explorado.

Explorando a vulnerabilidade

Para exemplificar, veja esse mapa com base no Mitre Att&ck do que um atacante pode realizar explorando a brecha de segurança PrintNightmare. Claro que isso é apenas uma de várias possibilidades e é por isso que cabe uma analise bastante crucial e um entendimento do seu ambiente.

Imagem Mitre Att&ck

Esse ataque é efetivo até mesmo no recém-lançado Windows 11, por exemplo. Caso queira validar se os seus servidores Windows estão ou não vulneráveis, veja aqui o exploit com o passo a passo, além disso você pode ver o vídeo da prova de conceito que vai te ajudar a entender melhor.

PrintNightmare

A prova de conceito foi realizada coordenador e professor da pós-graduação em segurança cibernética no IDESP, Ricardo Tavares, que detalhou de forma prática como os ataques podem acontecer e algumas medidas de mitigação.

Mitigando o Printnightmare

Confirme se o seu sistema operacional já possui o patch disponível neste link e instale-o.

Caso o seu sistema operacional não possua o patch disponível ou você não consiga instalar em todo o seu ambiente, o máximo que pode ser feito é remediar a situação para que não se torne um vetor de ataque para os atores de ameaça na sua organização, principalmente por ser um serviço presente por padrão em todos os sistemas operacionais Windows.

E as recomendações são bem simples, como descritas até mesmo no site da Microsoft. Veja:

1) Desativar o serviço de Print Spooler da sua máquina quando possível;

2) Caso não seja possível desativar o serviço de Print Spooler, crie uma política de grupo para evitar o acesso remoto para este serviço e crie uma ACL no diretório C:\Windows\System32\spool\drivers para negar qualquer tipo de acesso e modificação por meio da conta SYSTEM;

3) Garanta que o UAC estava ativado em seu sistema operacional;

4) Garanta que o serviço de Print and Point está protegido com as chaves de registro:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • NoWarningNoElevationOnInstall = 0
  • NoWarningNoElevationOnUpdate = 0

5) Mantenha o EDR/AV atualizado, isso impede de um atacante utilizar payloads simples sem nenhum tipo de obfuscação para conseguir uma shell ou até mesmo executar um malware;

6) E se preferir, pode desinstalar os serviços de impressão: Uninstall-WindowsFeature Print-Services.

Lembramos que são recorrentes as falhas no serviço do spool de impressão, e mesmo com o patch de correção instalado, recomendamos que o serviço permaneça desativado se não estiver sendo utilizado.

Além de todos esses processos, uma gestão de vulnerabilidades é fundamental para diminuir os riscos, além de reforçar os controles de segurança e conscientizar os colaboradores, assim você garante que não seja uma vítima de um ransomware que use o PrintNightmare como vetor de ataque, principalmente para explorar e realizar movimentação lateral na sua rede.

Esse exploit abre espaço para diversas técnicas, então tomar todos os cuidados é o mínimo a ser feito para garantir a segurança dentro da sua organização. Um Red Team totalmente capacitado para testar esse tipo de vulnerabilidade e analisar os riscos conforme o negócio, com certeza garante a efetividade da segurança, porém o papel do Blue Team em andar junto com Red Team é fundamental para que se concretize a mitigação.

Conclusão

Portanto, invista em segurança da cibernética, lembre-se que estamos numa era que os nossos dados são mais valiosos que ouro, afinal tudo se resume a dados e informações e por isso não podemos brincar de segurança, mas levar a sério todo o contexto que estamos passando, pois com certeza ninguém quer ter sua rede comprometida e sequestrada por um ransomware.

Se ficou interessado e gostaria de se especializar no assunto, conheça nossa pós-graduação em Cyber Security, um curso majoritariamente prático, que visa capacitar o aluno tecnicamente para responder de forma dinâmica, por meio da inteligência cibernética, aos diversos tipos de ameaças existentes.

Sobre Ricardo.Tavares - CISM, CRISC, CGEIT, GCIH, GPEN, ISO 27001 LA, TOGAFc

mm
Especialista em segurança cibernética e forense digital. Coordenador e professor do curso de pós-graduação em segurança cibernética na Faculdade Impacta / DARYUS e diretor da consultora GEMINA Threat Intelligence. Contato: [email protected]

Confira tambem

15 conteúdos sobre ransomware

15 conteúdos para você não sofrer um ataque de ransomware

Ransomware é o assunto do momento quando se trata de cibersegurança, principalmente após os recentes …

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *