Avisos sobre serviços

Todos os avisos > Avisos sobre segurança > Vulnerabilidade de execução remota de código no Spooler de Impressão do Windows (CVE-2021-34527)

Vulnerabilidade de execução remota de código no Spooler de Impressão do Windows (CVE-2021-34527)

06 de Julho de 2021,GMT+08:00

I. Descrição

A Microsoft emitiu um comunicado oficial informando sobre uma vulnerabilidade de execução remota de código de dia 0 (CVE-2021-34527) no Spooler de Impressão do Windows. A vulnerabilidade tem sido chamada publicamente de "PrintNightmare". Ela é semelhante à vulnerabilidade de execução remota de código no Spooler de Impressão do Windows divulgada pela Microsoft em junho (CVE-2021-1675). Um atacante pode explorar essa vulnerabilidade para realizar o bypass da autenticação de segurança do RpcAddPrinterDriverEx e instalar uma unidade maliciosa no servidor de impressão. Se o usuário controlado pelo atacante estiver em um domínio, o atacante poderá se conectar ao serviço Spooler no DC e explorar essa vulnerabilidade para instalar unidades maliciosas no DC a fim de controlar todo o domínio. No momento, sua probabilidade de exploração é considerada alta.

O Spooler de Impressão do Windows é um programa de processamento de impressora em segundo plano do Windows e é amplamente utilizado em intranets. Se você for um usuário do Spooler de Impressão do Windows, verifique seu sistema e implemente medidas para a mitigação de riscos à segurança prontamente.

Referência: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

II. Gravidade

Gravidade: importante

(Gravidade: baixa, moderada, importante e crítica)

III. Produtos afetados

Versões afetadas:

Windows Server, versão 20H2 (Instalação Server Core)

Windows Server, versão 2004 (Instalação Server Core)

Windows Server, versão 1909 (Instalação Server Core)

Windows Server 2019 (instalação Server Core)

Windows Server 2019

Windows Server 2016 (instalação Server Core)

Windows Server 2016

Windows Server 2012 R2 (instalação Server Core)

Windows Server 2012 R2

Windows Server 2012 (instalação Server Core)

Windows Server 2012

Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação Server Core)

Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64

Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core)

Windows Server 2008 Service Pack 2 para sistemas baseados em x64

Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core)

Windows Server 2008 Service Pack 2 para sistemas de 32 bits

Windows RT 8.1

Windows 8.1 para sistemas baseados em x64

Windows 8.1 para sistemas de 32 bits

Windows 7 Service Pack 1 para sistemas baseados em x64

Windows 7 Service Pack 1 para sistemas de 32 bits

Windows 10, versão 21H1 para sistemas baseados em x64

Windows 10, versão 21H1 para sistemas baseados em ARM64

Windows 10, versão 21H1 para sistemas de 32 bits

Windows 10, versão 20H2 para sistemas baseados em x64

Windows 10, versão 20H2 para sistemas baseados em ARM64

Windows 10, versão 20H2 para sistemas de 32 bits

Windows 10, versão 2004 para sistemas baseados em x64

Windows 10, versão 2004 para sistemas baseados em ARM64

Windows 10, versão 2004 para sistemas de 32 bits

Windows 10, versão 1909 para sistemas baseados em x64

Windows 10, versão 1909 para sistemas baseados em ARM64

Windows 10, versão 1909 para sistemas de 32 bits

Windows 10, versão 1809 para sistemas baseados em x64

Windows 10, versão 1809 para sistemas baseados em ARM64

Windows 10, versão 1809 para sistemas de 32 bits

Windows 10, versão 1607 para sistemas baseados em x64

Windows 10, versão 1607 para sistemas de 32 bits

Windows 10 para sistemas baseados em x64

Windows 10 para sistemas de 32 bits

IV. Recomendações de segurança

1.  A Microsoft lançou um patch de atualização de segurança. Se você for um dos usuários afetados, baixe o patch do link a seguir:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

2.  Caso você não possa instalar o patch no momento, realize as seguintes operações para localizar o problema e mitigar o risco:

Execute o comando a seguir como um administrador do domínio para verificar se o serviço Spooler de Impressão está em funcionamento:

Get-Service -Name Spooler

Se o serviço Spooler de Impressão estiver em funcionamento ou não desativado, realize uma das seguintes operações:

● Desative o serviço Spooler de Impressão executando o seguinte comando no PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

● Configure uma política de grupo para desativar a impressão remota de entrada.

No Editor de Política de Grupo (gpedit.msc), selecione Modelos Administrativos > Impressoras e desative a política "Permitir que o Spooler de Impressão aceite conexões de cliente".

Faça o backup dos seus dados de forma remota para protegê-los.

Observação: antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.