Poucos dias depois da Microsoft ter soado o alarme sobre uma vulnerabilidade de segurança não corrigida no serviço Windows Print Spooler, possivelmente outra falha de dia zero no mesmo componente veio à tona, tornando-se a quarta deficiência relacionada à impressora a ser descoberta nas últimas semanas.
“O Microsoft Windows permite que usuários não administradores instalem drivers de impressora via Apontar e Imprimir”, disse Will Dormann, do CERT Coordination Center, em comunicado publicado no domingo. “As impressoras instaladas por meio dessa técnica também instalam arquivos específicos da fila, que podem ser bibliotecas arbitrárias a serem carregadas pelo processo privilegiado do Windows Print Spooler.” Uma exploração da vulnerabilidade foi divulgada pelo pesquisador de segurança e criador do Mimikatz Benjamin Delpy.
Especificamente, a falha permite que um agente de ameaça execute código arbitrário com privilégios de SISTEMA em uma máquina Windows vulnerável, conectando-se a um servidor de impressão malicioso sob seu controle.
Embora não haja solução para o problema, CERT / CC recomenda configurar “PackagePointAndPrintServerList” para evitar a instalação de impressoras de servidores arbitrários e bloquear o tráfego SMB de saída no limite da rede, visto que explorações públicas para a vulnerabilidade utilizam SMB para conectividade com um sistema malicioso impressora compartilhada.
O novo problema é apenas a mais recente evidência da queda após a falha do PrintNightmare ter se tornado pública acidentalmente no mês passado, levando à descoberta de uma série de vulnerabilidades que afetam o serviço Print Spooler.
Dada a falta de detalhes em torno do CVE-2021-34481 – a falha de escalonamento de privilégio local (LPE) relatada pelo pesquisador de segurança Jacob Baines – não está imediatamente claro qual conexão, se houver, a vulnerabilidade e este novo contorno de verificação de assinatura do Spooler de impressão que também permite que o LPE possa ter um com o outro.