Quando a impressão fica perigosa: PrintNightmare

Enquanto as notícias estão vazando sobre o recente programa de segurança para o serviço Windows Print Spooler que aparentemente causava problemas de impressão, a Microsoft está revertendo as correções da visualização prévia da atualização acumulativa de junho de 2021, que aparentemente é a verdadeira fonte dos problemas de impressão, em vez do patch fora de banda para PrintNightmare (também conhecido como CVE-2021-34527/CVE-2021-1675).

Sem relação com os problemas de impressão, os pesquisadores apontaram que o patch, que tem como objetivo abordar a vulnerabilidade do PrintNightmare, não pode fazer o trabalho completamente, apesar de limitar o número de possíveis ataques. Embora a Microsoft tenha certeza de que a atualização está funcionando conforme projetado, alguns pesquisadores da comunidade de segurança sugerem o contrário. A disputa parece ser sobre a origem do problema, seja a configuração insegura de alguns ajustes do registro ou esquecimento de verificar um formato alternativo para a rota de acesso à DLL maliciosa de um invasor.

O que a Microsoft fará a seguir ainda está para ser visto. Será que o gigante de Redmond fará outra tentativa no PrintNightmare nesta terça-feira de atualização, programada para 13 de julho de 2021?

Fique seguro e continue imprimindo

Caso você não possa usar os patches - e mesmo se puder, pelo menos até que os patches sejam suficientes - a ESET está lançando algumas dicas de configuração do produto que ajudam a evitar que os exploits do PrintNightmare comprometam seus sistemas. A dica de solução da Microsoft é desabilitar totalmente o serviço de fila de impressão, ou desabilitar a impressão remota por meio da Política de Grupo. A primeira opção desativa todas as impressões nesse dispositivo, tanto em impressoras locais quanto remotas, enquanto a segunda opção deixa a impressão local habilitada, mas desabilita a impressão remota na impressora local. Aplicado em toda a rede, qualquer solução desativa todas as impressões remotas.

No entanto, uma abordagem menos drástica é definir regras no ESET Endpoint Security, ou por meio das políticas do ESET PROTECT, que bloqueiam o uso malicioso do serviço Print Spooler. Usando a camada do Host-Based Intrusion Prevention System (HIPS) da ESET, os administradores de TI podem impedir que spoolsv.exe escreva novas DLLs na pasta do driver (um elemento necessário de exploração remota da vulnerabilidade PrintNightmare) seguindo estas etapas:

1. Abra a janela principal do programa de seu produto ESET Windows.

2. Pressione a tecla F5 para acessar as configurações avançadas.

3. Clique em Detection Engine > HIPS.

4. Role para baixo.

5. Clique em Edit para acessar as regras do HIPS.

6. Clique em Add.

7. Configure uma nova regra. Na janela de configuração de regras do HIPS, você pode nomear a regra "Não permitir gravação de DLL spoolsv.exe". Em seguida, bloqueie as operações que afetam os arquivos de destino (ambos especificados nas etapas a seguir) e habilite a regra, registre as informações sobre esta regra e notifique o usuário com uma pequena janela pop-up. Quando terminar, clique em Next.

8. Na janela Source applications, selecione Specific applications no menu suspenso e clique em Add.

9. Na janela Add, insira o seguinte caminho de arquivo: clique em OK e, em seguida, clique em Add (observe que o caminho do arquivo é baseado em um sistema Windows instalado em C:\Windows; modifique conforme necessário).

  • C:\Windows\System32\spoolsv. exe

10. Clique em Next.

11. Clique na barra deslizante ao lado de Write to file e clique em Next.

12. Na janela Target files, selecione Specific file no menu suspenso e clique em Add.

13. Na janela Add, digite o seguinte caminho de arquivo, clique em OK e em Add.

  • C:\Windows\System32\spool\drivers\*

14. Clique em Finish.

15. Depois de concluída, a nova regra deve ter a seguinte aparência:

16. Clique em OK duas vezes para retornar à janela principal do programa e habilitar a nova regra.

Depois de ativada, esta regra HIPS deve deixar todas as funcionalidades de impressão locais e remotas intactas (ou seja, imprimir em impressoras locais e remotas e aceitar trabalhos de impressão enviados remotamente para uma impressora local), exceto que a instalação de novas impressoras falhará:

As impressoras que já estão instaladas devem permanecer funcionais. Se esta regra HIPS tiver sido implementada, uma nova impressora pode ser instalada ou configurada em uma estação de trabalho desativando temporariamente esta regra e ativando-a após a instalação da impressora.

Embora os pesquisadores da ESET tenham testado essa regra, se a impressão for uma função crítica em seu negócio, você deve testá-la cuidadosamente em seu ambiente antes de implementá-la amplamente.

Por último, é importante lembrar de desabilitar esta regra assim que a Microsoft lançar patches totalmente funcionais e eles tiverem sido instalados em seu ambiente.

Agradecemos ao CTO da ESET Holanda, Donny Maasland e sua equipe por esta sugestão e a próxima. Para aqueles que usam o ESET Enterprise Inspector, a solução de detecção e resposta de endpoint da ESET, você pode criar regras personalizadas que detectam a exploração de CVE-2021-1675:

  1. PrintNightmare — Printer Spooler dropped .dll file [K1989A], detecta spoolsv.exe eliminando uma DLL de baixa reputação da pasta de drivers de spool.
  2. PrintNightmare — Printer Spooler loaded untrusted DLL [K1989B], que detecta o carregamento de spoolsv.exe de um arquivo DLL com baixa reputação da pasta de drivers de spool.
  3. PrintNightmare — Printer Spooler executed cmd.exe [K1989C], que detecta spoolsv.exe gerando cmd.exe como um processo secundário.

Embora as regras referenciadas aqui sejam configuradas para o ESET Enterprise Inspector, deve ser possível adaptá-las a outras plataformas de detecção e resposta de endpoint

BAIXE AS REGRAS EEI

Além disso, você pode acompanhar a rápida evolução da situação em torno do PrintNightmare na página de suporte da ESET aqui.