Visão Geral
Este artigo discutirá informações relacionadas às seguintes vulnerabilidades:
| CVE | Produto Afetado | CVSSv3 |
|---|---|---|
| CVE-2021-1675 | Windows Print Spooler |
9,8 |
| CVE-2021-34527 | Windows Print Spooler | 8.8 |
Contexto
Atualmente, há dois CVEs importantes:
- Em junho de 2021, uma vulnerabilidade de execução remota de código (Execução Remota de Código) no Windows Print Spooler foi identificada e CVE-2021-1675 foi atribuída.
- Em 1 de julho, a Microsoft emitiu um alerta para a CVE-2021-34527. Isso foi referido como 'PrintNightmare' pelos meios de comunicação. A Microsoft observa que este CVE é uma questão distinta e separada do defeito tratado pelo CVE-2021-1675.
Impacto
A vulnerabilidade mais notável revelada como parte desse aviso é a CVE-2021-34527 (PrintNightmare). Esta é uma vulnerabilidade de execução remota de código que afeta o Windows Print Spooler e não requer que um sistema tenha uma impressora conectada para ser vulnerável.
CVE-2021-1675
A exploração do CVE-2021-1675 pode dar aos invasores remotos controle total sobre sistemas vulneráveis. Para realizar uma Execução Remota de Código, os atacantes precisariam mirar em um usuário autenticado ao serviço de spooler. Sem autenticação, a falha pode ser explorada para elevar privilégios, tornando essa vulnerabilidade um elo valioso em uma cadeia de ataque.
O CVE-2021-1675 foi tratado por uma atualização de segurança da Microsoft lançada em 8 de junho de 2021.
CVE-2021-34527
CVE-2021-34527, anunciada em 1 de julho, é também uma vulnerabilidade de Execução Remota de Código dentro do serviço Windows Print Spooler. A exploração bem-sucedida da vulnerabilidade permitiria aos atacantes a capacidade de executar código arbitrário com privilégios de SISTEMA, incluindo instalar programas, visualizar/alterar/excluir dados ou criar novas contas com direitos de usuário completos. Embora isso ainda exija uma conta de usuário autenticada como com a CVE-2021-1675.
Um ataque deve envolver um usuário autenticado chamando RpcAddPrinterDriverEx().
Todas as versões do Windows são potencialmente vulneráveis.
A Resolução Cato
Com o intuito de proteger nossos clientes, Cato tomou as seguintes medidas:
- Implantou globalmente um conjunto de assinaturas de Sistema de Prevenção de Intrusões (IPS) para mitigar essa ameaça de vulnerabilidade.
- Se você tiver o IPS da Cato ativado, estará protegido dessa exploração sem necessidade de alterações manuais de configuração (ou atualização do banco de dados de Assinatura IPS) da sua parte. No entanto, aconselhamos que siga os alertas dos fornecedores para mitigar a exploração na origem.
- No caso de tráfego malicioso não criptografado ser identificado que se encaixe no perfil de assinatura do CVE-2021-1675 ou CVE-2021-34527, esse tráfego será bloqueado e um registro de evidências será gerado dentro da Aplicação de Gerenciamento Cato na janela de Descoberta de Eventos.
Nota: Recomenda-se seguir o Microsoft Security Advisory e desabilitar o Serviço de Spooler de Impressão nas plataformas impactadas até que um patch da Microsoft tenha sido lançado para tratar essa vulnerabilidade.
Além disso, na Cato recomendamos que você sempre mantenha seus sistemas atualizados com as últimas atualizações de segurança da Microsoft e estratégias de mitigação do fornecedor. Isso pode ajudar a mitigar quaisquer vulnerabilidades adicionais que possam surgir com produtos da Microsoft.
0 comentário
Por favor, entre para comentar.