Alerta de Vulnerabilidades - Windows Print Spooler
Foi divulgada uma vulnerabilidade zero-day (CVE-2021-34527) no serviço Windows Print Spooler que permite a execução de código remoto com privilégios de "SYSTEM". Para obter sucesso no ataque qualquer utilizador autenticado apenas necessita de efetuar uma chamada ao “RpcAddPrinterDriverEx()” (função utilizada para instalar os drivers da impressora no sistema).[1][2]
De referir que esta vulnerabilidade é diferente da vulnerabilidade divulgada no dia 8 de Junho, Windows Print Spooler Remote Code Execution Vulnerability (CVE-2021-1675) e que já uma tem atualização disponível. [3]
Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário com privilégios.
Verificar que foram aplicadas as atualizações de segurança de 8 de junho de 2021 e também aplicar as medidas de mitigação recomendadas pela Microsoft, disponíveis em [2].
[1] https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
Nota: Podem também encontrar mais informação nos URLs disponíveis abaixo, sobre a forma de como identificar se este ataque pode já ter sido executado nos Servidores ou a forma de implementar as medidas de mitigação (comandos a executar):
[4] https://github.com/LaresLLC/CVE-2021-1675
[5] https://www.kb.cert.org/vuls/id/383432