Nos últimos dias, foi descoberta uma vulnerabilidade crítica no serviço de impressão do Windows (Windows Print Spooler) que deixou a comunidade de segurança da informação em pânico. Essa falha, conhecida como PrintNightmare (CVE-2021-1675), permite que um usuário autenticado eleve as vantagens e acesse servidores remotamente com privilégios de sistema.
“Grandes ataques ciberneticos às empresas acontecem por deficiências no serviço de impressão. Com o PrintNightmare não é diferente. Essa vulnerabilidade explora uma configuração incorreta no serviço da impressora em sistemas Windows e permite que o invasor com credenciais de domínio execute uma DLL de driver de impressão mal-intencionada”, explica Ricardo Tavares, professor coordenador da pós-graduação de Cyber Security do Instituto Daryus de Ensino Superior Paulista (IDESP).
Segundo o especialista, as equipes de TI das empresas devem ficar atentas a possíveis ataques, já que os serviços de impressão sempre foram muito vulneráveis. “A Microsoft trabalha em uma atualização do sistema, mas enquanto isso não acontece, o ideal é que as empresas desabilitem a entrada da impressão remota. Com isso, é bloqueado também a movimentação lateral, que há anos é bastante usada pelos cibercriminosos em ataques”, recomenda.
“Sem um Patche de correção o máximo que podemos fazer é remediar a situação para que não se torne um vetor de ataque gigantesco na organização, principalmente por ser um serviço bem presente em todos os sistemas operacionais Windows”, complementa.
Confira abaixo algumas dicas para as empresas se protegerem:
1 – Instale os patches: garanta que instalou todos os patches disponibilizados oficialmente pela Microsoft;
2 – UAC ativado: certifique-se que em seu ambiente o UAC (User Account Control) não esteja desativado;
3 – PrintAndPoint: tome cuidado para que não existam as chaves do PrintAndPoint, pois isso permite que os drives da impressora sejam automaticamente atualizados ou instalados;
4 – Active Directory: garanta que o serviço de spool de impressão nos servidores do Active Directory estão desativados, ou que o grupo “Pre-Windows 200 Compatible Acess” esteja vazio.
Além de todos esses processos, é recomendável uma gestão de vulnerabilidades para diminuir os riscos, reforçar os controles de segurança e conscientizar os colaboradores da companhia.