{"id":17782,"date":"2021-07-13T19:01:47","date_gmt":"2021-07-13T22:01:47","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17782"},"modified":"2022-05-05T08:59:43","modified_gmt":"2022-05-05T11:59:43","slug":"printnightmare-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/printnightmare-vulnerability\/17782\/","title":{"rendered":"Falha PrintNightmare: atualize o Windows o quanto antes"},"content":{"rendered":"<p>No final de junho, pesquisadores de seguran\u00e7a estavam discutindo ativamente uma vulnerabilidade no servi\u00e7o Windows Print Spooler, que apelidaram de <em>PrintNightmare<\/em>. O patch, lan\u00e7ado em junho, deveria corrigir a vulnerabilidade, e fez \u2013 mas, na verdade, o problema envolveu duas falhas. O patch fechou a <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-1675\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1675<\/a>, mas n\u00e3o a <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-34527\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-34527<\/a>. Em computadores ou servidores Windows n\u00e3o corrigidos, os malfeitores podem usar as vulnerabilidades para obter controle porque o Print Spooler est\u00e1 ativo por padr\u00e3o em todos os sistemas Windows.<\/p>\n<p>A Microsoft usa o nome PrintNightmare para a 34527, mas n\u00e3o para a 1675; no entanto, muitos outros o usam para ambas as vulnerabilidades.<\/p>\n<p>Nossos especialistas estudaram ambas as falhas em detalhes e certificaram-se de que o <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">as solu\u00e7\u00f5es Kaspersky<\/a>, com sua tecnologia de <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/exploit-prevention\" target=\"_blank\" rel=\"noopener nofollow\">preven\u00e7\u00e3o de exploit<\/a> e <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/behavior-based-protection\" target=\"_blank\" rel=\"noopener nofollow\">prote\u00e7\u00e3o baseada em comportamento<\/a>, evita tentativas de explor\u00e1-las.<\/p>\n<h2>Porque o PrintNightmare \u00e9 perigoso<\/h2>\n<p>O PrintNightmare \u00e9 considerado extremamente perigoso por duas raz\u00f5es principais. Primeiro, o Print Spooler sendo habilitado por padr\u00e3o em todos os sistemas baseados no Windows, incluindo controladores de dom\u00ednio e computadores com privil\u00e9gios de administrador do sistema, torna todos vulner\u00e1veis.<\/p>\n<p>Em segundo lugar, um mal-entendido entre equipes de pesquisadores (e, talvez, um erro simples) levou \u00e0 <a href=\"https:\/\/therecord.media\/poc-released-for-dangerous-windows-printnightmare-bug\/\" target=\"_blank\" rel=\"noopener nofollow\">publica\u00e7\u00e3o online<\/a> de um exploit <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/poc-proof-of-concept\/\" target=\"_blank\" rel=\"noopener\">prova-de-conceito<\/a> para PrintNightmare. Os pesquisadores envolvidos tinham certeza de que o patch de junho da Microsoft j\u00e1 havia resolvido o problema, ent\u00e3o compartilharam seu trabalho com a comunidade de especialistas. No entanto, o exploit continuou perigoso. O PoC foi removido rapidamente, mas n\u00e3o antes que muita gente o copiasse, motivo pelo qual nossos especialistas preveem aumento nas tentativas de explorar o PrintNightmare.<\/p>\n<h2>As vulnerabilidades e outras brechas para ataques<\/h2>\n<p><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-1675\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1675<\/a> \u00e9 uma vulnerabilidade de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/privilege-escalation\/\" target=\"_blank\" rel=\"noopener\">eleva\u00e7\u00e3o de privil\u00e9gio<\/a>. Ela permite que um invasor com poucos privil\u00e9gios de acesso crie e use um arquivo DLL malicioso para executar uma explora\u00e7\u00e3o e obter privil\u00e9gios mais elevados. No entanto, isso s\u00f3 \u00e9 poss\u00edvel se o invasor j\u00e1 tiver acesso direto ao computador vulner\u00e1vel em quest\u00e3o. A Microsoft considera esta vulnerabilidade de risco relativamente baixo.<\/p>\n<p>J\u00e1 a falha <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-34527\" target=\"_blank\" rel=\"noopener nofollow\">34527<\/a> \u00e9 significativamente mais perigosa: embora semelhante, \u00e9 uma vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo (RCE), que permite a inje\u00e7\u00e3o remota de DLLs. A Microsoft j\u00e1 viu os exploits dessa vulnerabilidade \u00e0 solta e o <a href=\"https:\/\/securelist.com\/quick-look-at-cve-2021-1675-cve-2021-34527-aka-printnightmare\/103123\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a> fornece uma descri\u00e7\u00e3o t\u00e9cnica mais detalhada das vulnerabilidades e de suas t\u00e9cnicas de explora\u00e7\u00e3o.<\/p>\n<p>Como os malfeitores podem usar o PrintNightmare para acessar dados na infraestrutura corporativa, tamb\u00e9m podem usar o exploit para ataques de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/ataques-ransomware-direcionados-crescem-700\/17470\/\" target=\"_blank\" rel=\"noopener\">ransomware<\/a>.<\/p>\n<h2>Como proteger sua infraestrutura contra o PrintNightmare<\/h2>\n<p>Seu primeiro passo para se proteger contra ataques PrintNightmare \u00e9 instalar os dois patches \u2013 <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-1675\" target=\"_blank\" rel=\"noopener nofollow\">junho<\/a> e <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34527\" target=\"_blank\" rel=\"noopener nofollow\">julho<\/a> \u2013 da Microsoft. A \u00faltima p\u00e1gina tamb\u00e9m fornece algumas solu\u00e7\u00f5es alternativas da Microsoft no caso de voc\u00ea n\u00e3o conseguir usar os patches \u2013 e um deles nem mesmo requer a desativa\u00e7\u00e3o do Windows Print Spooler.<\/p>\n<p>Dito isso, sugerimos fortemente desativar o Print Spooler em computadores que n\u00e3o precisam dele. Em particular, \u00e9 altamente improv\u00e1vel que os servidores do controlador de dom\u00ednio precisem da capacidade de imprimir.<\/p>\n<p>Al\u00e9m disso, todos os servidores e computadores precisam de <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00f5es de seguran\u00e7a de endpoint confi\u00e1veis<\/a> que evitam tentativas de explora\u00e7\u00e3o de vulnerabilidades conhecidas e desconhecidas, incluindo a PrintNightmare.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>A vulnerabilidade PrintNightmare no Windows Print Spooler pode ser usada para ultrapassar o controlador de dom\u00ednio.<\/p>\n","protected":false},"author":2706,"featured_media":17783,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[331,1185,267,230,2748],"class_list":{"0":"post-17782","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-atualizacoes","11":"tag-business","12":"tag-vulnerabilidades","13":"tag-windows","14":"tag-zeroday"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/printnightmare-vulnerability\/17782\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/printnightmare-vulnerability\/23044\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/printnightmare-vulnerability\/18526\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/printnightmare-vulnerability\/9266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/printnightmare-vulnerability\/24996\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/printnightmare-vulnerability\/23004\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/printnightmare-vulnerability\/22297\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/printnightmare-vulnerability\/25616\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/printnightmare-vulnerability\/25086\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/printnightmare-vulnerability\/31025\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/printnightmare-vulnerability\/9814\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/printnightmare-vulnerability\/40520\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/printnightmare-vulnerability\/17307\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/printnightmare-vulnerability\/15021\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/printnightmare-vulnerability\/27047\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/printnightmare-vulnerability\/31190\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/printnightmare-vulnerability\/27276\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/printnightmare-vulnerability\/24088\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/printnightmare-vulnerability\/29420\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/printnightmare-vulnerability\/29212\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17782","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17782"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17782\/revisions"}],"predecessor-version":[{"id":17785,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17782\/revisions\/17785"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17783"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17782"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17782"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17782"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}