VULNERABILIDADE DA SEGURANÇA DO WINDOWS PRINTNIGHTMARE

 

Falha na segurança do Windows


Foi identificada uma nova vulnerabilidade de segurança para todos os sistemas Windows: PrintNightmare.


Como o próprio nome sugere, esta vulnerabilidade está presente no spooler de impressão (serviço ativo, por defeito, para todos os sistemas Windows) o qual permite que o trabalho entre na fila de impressão.

Este serviço está vulnerável e pode ser usado por hackers para comprometer o Windows. Esta falha permite executar um código remoto, que poderá levar à instalação de aplicações maliciosas, alterar dados e até criar contas com permissões de administrador.

Esta possível consequência torna-o uma falha extremamente perigosa para o sistema de informação.

A Microsoft atribuiu a referência  CVE-2021-34527  a esta vulnerabilidade.
 
Foi disponibilizada pela Microsoft uma atualização de segurança através do link:  CVE-2021-34527 - Guia de atualizações de segurança - Microsoft - Vulnerabilidade de execução remota de código no spooler de impressão do Windows A

A Microsoft também disponibiliza as seguintes soluções alternativas:
 

Soluções alternativas

Determinar se o serviço Spooler de Impressão está em execução
Execute o seguinte no Windows PowerShell:

Get-Service -Name Spooler

Se o Spooler de Impressão estiver em execução ou se o serviço não estiver definido como desabilitado, selecione uma das seguintes opções:  

Opção 1 — Desabilitar o serviço Spooler de Impressão
Se desabilitar o serviço Spooler de Impressão for apropriado para sua empresa, use os seguintes comandos do PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Impacto da solução alternativa: Desabilitar o serviço Spooler de Impressão desabilita a capacidade de imprimir local e remotamente.

Opção 2 — Desabilitar a impressão remota de entrada através da Política de Grupo

A configuração através da Política de Grupo pode er feita da seguinte forma:
  • Configuração do Computador/Modelos Administrativos/Impressoras
  • Desabilite a política “Permitir que o spooler de impressão aceite conexões de cliente:” para bloquear ataques remotos.
Deverá reiniciar o serviço Spooler de Impressão  para que a política de grupo tenha efeito.

Impacto da solução alternativa: Esta política bloqueará o vetor de ataque remoto evitando operações de impressão remota de entrada. O sistema não funcionará mais como um servidor de impressão, mas a impressão local em um dispositivo conectado diretamente ainda será possível.