Ir para conteúdo

Alerta de Vulnerabilidades - Windows Print Spooler

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Windows Print Spooler
ECOSSISTEMA
Windows
Descrição

Foi divulgada uma vulnerabilidade zero-day (CVE-2021-34527) no serviço Windows Print Spooler que permite a execução de código remoto com privilégios de "SYSTEM". Para obter sucesso no ataque qualquer utilizador autenticado apenas necessita de efetuar uma chamada ao “RpcAddPrinterDriverEx()” (função utilizada para instalar os drivers da impressora no sistema).[1][2]

De referir que esta vulnerabilidade é diferente da vulnerabilidade divulgada no dia 8 de Junho, Windows Print Spooler Remote Code Execution Vulnerability (CVE-2021-1675) e que já uma tem atualização disponível. [3]


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário com privilégios.


Resolução

Verificar que foram aplicadas as atualizações de segurança de 8 de junho de 2021 e também aplicar as medidas de mitigação recomendadas pela Microsoft, disponíveis em [2].


Referências

[1] https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

Nota: Podem também encontrar mais informação nos URLs disponíveis abaixo, sobre a forma de como identificar se este ataque pode já ter sido executado nos Servidores ou a forma de implementar as medidas de mitigação (comandos a executar):
[4] https://github.com/LaresLLC/CVE-2021-1675
[5] https://www.kb.cert.org/vuls/id/383432

 
Última atualização em 13-12-2020