A Microsoft confirmou mais uma vulnerabilidade de bug de dia zero vinculada ao utilitário Print Spooler, apesar das correções de segurança do spooler lançadas recentemente.
Não deve ser confundido com a vulnerabilidade inicial do PrintNightmare, ou outro exploit recente do Print Spooler, este novo bug permitiria que um invasor local ganhasse privilégios de sistema. A Microsoft ainda está investigando o bug, conhecido como CVE-2021-36958, por isso ainda não conseguiu verificar quais versões do Windows são afetadas. Também não anunciou quando lançará uma atualização de segurança, mas afirma que as soluções geralmente são lançadas mensalmente.
De acordo com BleepingComputer, a razão pela qual as recentes atualizações de segurança da Microsoft não ajudam é por causa de um descuido em relação aos privilégios de administrador. A exploração envolve a cópia de um arquivo que abre um prompt de comando e um driver de impressão, e são necessários privilégios de administrador para instalar um novo driver de impressão.
No entanto, as novas atualizações exigem apenas privilégios de administrador para instalação do driver - se o driver já estiver instalado, não há esse requisito. Se o driver já estiver instalado em um computador cliente, um invasor simplesmente precisa se conectar a uma impressora remota para obter acesso total ao sistema.
Assim como nas explorações anteriores do Spooler de impressão, a Microsoft recomenda desabilitar totalmente o serviço (se for "apropriado" para o seu ambiente). Embora isso feche a vulnerabilidade, também desativará a capacidade de imprimir remotamente e localmente.
Em vez de se impedir de imprimir totalmente, a BleepingComputer sugere apenas permitir que seu sistema instale impressoras de servidores que você autorizou pessoalmente. Ele observa, no entanto, que esse método não é perfeito, pois os invasores ainda podem instalar os drivers maliciosos em um servidor autorizado.