CISA: Desative o Windows Print Spooler em servidores não usados ​​para impressão

“CISA encoraja os administradores para desativar o serviço de spooler de impressão do Windows em Controladores e sistemas de domínio que não imprimem”, a agência federal norte-americano disse .

“Além disso, os administradores devem empregar as seguintes práticas recomendadas dos guias de procedimentos da Microsoft, publicados em 11 de janeiro de 2021.”

De acordo com as recomendações da Microsoft, o serviço Print Spooler deve ser desabilitado em todos os controladores de domínio e sistemas de administração do Active Directory por meio de um objeto de política de grupo devido ao aumento da exposição a ataques.

A Microsoft acrescenta que o serviço deve ser desabilitado em todos os servidores que não o exigem para mitigar ataques futuros devido a esses riscos elevados de o serviço de impressão ser visado, uma vez que é habilitado por padrão na maioria dos clientes Windows e plataformas de servidor.

Até que a Microsoft resolva o dia zero do PrintNightmare, desabilitar o serviço Print Spooler é a maneira mais simples de garantir que os atores da ameaça – e grupos de ransomware em particular – não aproveitem a ocasião para violar as redes corporativas.

Dia zero do Windows com exploits públicos

A empresa de segurança chinesa Sangfor vazou acidentalmente um exploit de prova de conceito (PoC) para a  vulnerabilidade do Windows Print Spooler de dia zero conhecida como PrintNightmare , que permite que os invasores controlem os servidores afetados por meio da execução remota de código com privilégios SYSTEM.

O vazamento foi causado pela confusão em torno da vulnerabilidade, que os pesquisadores de segurança pensaram ter sido rastreada como CVE-2021-1675, uma falha de escalonamento de privilégios de alta gravidade corrigida no início deste mês pela Microsoft e posteriormente atualizada para execução remota de código crítico.

No entanto, como o cofundador da 0Patch, Mitja Kolsek, descobriu, o exploit publicado para o bug PrintNightmare não visa a vulnerabilidade CVE-2021-1675, mas, em vez disso, uma falha totalmente diferente que também afeta o serviço Windows Print Spooler.

A empresa de consultoria de segurança Lares publicou informações de detecção e correção PrintNightmare   no GitHub, junto com detalhes sobre como parar e desabilitar o serviço Print Spooler nas configurações de Política de Grupo ou usando um script PowerShell.

O CERT Coordination Center (CERT / CC) também publicou  instruções sobre como interromper e desabilitar o serviço  em uma nota de vulnerabilidade separada.

Um vídeo do exploit PrintNightmare em ação criado pelo desenvolvedor do mimikatz Benjamin Delpy  está embutido abaixo.

Fonte: https://www.bleepingcomputer.com/