fbpx

Vulnerabilidade no serviço de Print Spooler (CVE-2021-34527)

Shape Image One
Vulnerabilidade no serviço de Print Spooler (CVE-2021-34527)

Salve galera! Wellington Agápto na área. Nesse artigo eu trouxe tudo que você precisa saber sobre a Vulnerabilidade no serviço de Print Spooler (CVE-2021-34527) divulgada pela Microsoft.

 

Vulnerabilidade no serviço de Print Spooler (CVE-2021-34527)

A Microsoft está ciente e investigando uma vulnerabilidade de execução remota de código que afeta o Windows Print Spooler e atribuiu o CVE-2021-34527 a essa vulnerabilidade. “Esta é uma situação em evolução e iremos atualizar o CVE à medida que mais informações estiverem disponíveis.” Disse a gigante da tecnologia.

Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa incorretamente operações de arquivo com privilégios. Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos de usuário totais. Um ataque deve envolver um usuário autenticado chamando RpcAddPrinterDriverEx ().

Certifique-se de ter aplicado as atualizações de segurança lançadas em 8 de junho de 2021 e consulte as seções Perguntas frequentes e solução alternativa neste CVE para obter informações sobre como ajudar a proteger seu sistema contra esta vulnerabilidade.

 

Como reduzir a superfície de ataque?

Para reduzir a superfície de ataque e como alternativa à desativação da impressão, verifique a associação e a associação a grupos aninhados nos grupos listados abaixo. Tente reduzir o número de membros o máximo possível ou esvazie completamente os grupos quando possível. Devido às configurações herdadas e à compatibilidade com versões anteriores, alguns desses grupos podem conter Usuários Autenticados ou Usuários de Domínio, o que permitiria que qualquer pessoa no domínio explorasse o controlador de domínio.

  • Administradores
  • Controladores de domínio
  • Controladores de domínio somente leitura
  • Controladores de domínio somente leitura empresarial
  • Administradores de certificados
  • Administradores de esquema
  • Administradores de empresa
  • Administradores de política de grupo
  • Usuários avançados
  • Operadores de sistema
  • Operadores de impressão
  • Operadores de backup
  • Servidores RAS
  • Acesso compatível com versões anteriores ao Windows 2000
  • Objeto de grupo de operadores de configuração de rede
  • Objeto de grupo de operadores criptográficos
  • Conta local e membro do grupo Administradores

Nota : Remover membros desses grupos pode causar outros problemas de compatibilidade.

 

Soluções alternativas

Determine se o serviço Spooler de impressão está em execução

Execute o seguinte cmdlet:

Get-Service -Name Spooler

Se o Spooler de Impressão estiver em execução ou se o serviço não estiver definido como desabilitado, selecione uma das seguintes opções para desabilitar o serviço Spooler de Impressão ou Desabilitar a impressão remota de entrada por meio da Política de Grupo:

 

Opção 1 – Desativar o serviço de spooler de impressão

Se desativar o serviço Spooler de impressão for apropriado para sua empresa, use os seguintes comandos do PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Impacto da solução alternativa Desativar o serviço Spooler de impressão desativa a capacidade de imprimir local e remotamente.

 

Opção 2 – Desative a impressão remota de entrada por meio da Política de Grupo

Você também pode definir as configurações por meio da Política de Grupo da seguinte maneira:

Configuração do computador / Modelos administrativos / Impressoras

Desative a política “Permitir que o spooler de impressão aceite conexões de cliente:” para bloquear ataques remotos.

Você deve reiniciar o serviço Spooler de Impressão para que a política de grupo entre em vigor.

Impacto da solução alternativa Esta política bloqueará o vetor de ataque remoto, evitando operações de impressão remota de entrada. O sistema não funcionará mais como um servidor de impressão, mas a impressão local em um dispositivo conectado diretamente ainda será possível.

Para obter mais informações, consulte: Usar configurações de Política de Grupo para controlar impressoras.

 

Já conhece o nosso Acesso Black?

Tenha acesso a todos os cursos da nossa plataforma por um valor ultra especial.
Saiba mais sobre o ACESSO BLACK clicando AQUI.

 

Já conhece o nosso Podcast?

Gostaram do artigo: Vulnerabilidade no serviço de Print Spooler (CVE-2021-34527) – Dicas para a prova? Então conheça também o nosso Podcast – Formata meu PC?