“CISA encoraja os administradores para desativar o serviço de spooler de impressão do Windows em Controladores e sistemas de domínio que não imprimem”, a agência federal norte-americano disse .
“Além disso, os administradores devem empregar as seguintes práticas recomendadas dos guias de procedimentos da Microsoft, publicados em 11 de janeiro de 2021.”
De acordo com as recomendações da Microsoft, o serviço Print Spooler deve ser desabilitado em todos os controladores de domínio e sistemas de administração do Active Directory por meio de um objeto de política de grupo devido ao aumento da exposição a ataques.
A Microsoft acrescenta que o serviço deve ser desabilitado em todos os servidores que não o exigem para mitigar ataques futuros devido a esses riscos elevados de o serviço de impressão ser visado, uma vez que é habilitado por padrão na maioria dos clientes Windows e plataformas de servidor.
Até que a Microsoft resolva o dia zero do PrintNightmare, desabilitar o serviço Print Spooler é a maneira mais simples de garantir que os atores da ameaça – e grupos de ransomware em particular – não aproveitem a ocasião para violar as redes corporativas.
A empresa de segurança chinesa Sangfor vazou acidentalmente um exploit de prova de conceito (PoC) para a vulnerabilidade do Windows Print Spooler de dia zero conhecida como PrintNightmare , que permite que os invasores controlem os servidores afetados por meio da execução remota de código com privilégios SYSTEM.
O vazamento foi causado pela confusão em torno da vulnerabilidade, que os pesquisadores de segurança pensaram ter sido rastreada como CVE-2021-1675, uma falha de escalonamento de privilégios de alta gravidade corrigida no início deste mês pela Microsoft e posteriormente atualizada para execução remota de código crítico.
No entanto, como o cofundador da 0Patch, Mitja Kolsek, descobriu, o exploit publicado para o bug PrintNightmare não visa a vulnerabilidade CVE-2021-1675, mas, em vez disso, uma falha totalmente diferente que também afeta o serviço Windows Print Spooler.
A empresa de consultoria de segurança Lares publicou informações de detecção e correção PrintNightmare no GitHub, junto com detalhes sobre como parar e desabilitar o serviço Print Spooler nas configurações de Política de Grupo ou usando um script PowerShell.
O CERT Coordination Center (CERT / CC) também publicou instruções sobre como interromper e desabilitar o serviço em uma nota de vulnerabilidade separada.
Um vídeo do exploit PrintNightmare em ação criado pelo desenvolvedor do mimikatz Benjamin Delpy está embutido abaixo.
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…
Novo guia técnico explica passo a passo como atacantes transformam o recurso administrativo Distributed COM…
Anunciamos o lançamento do Plugged Ninja AI (plugged.ninja/ai), nova vertical do site dedicada a explicar…
Pesquisadores da Wake Forest University analisaram 444 aplicativos iOS com funcionalidade LLM e identificaram 282…