Atualizações de emergência enviadas para Windows PrintNightmare Zero-day: Microsoft

Alegadamente, a Microsoft lançou uma atualização de segurança de emergência chamada KB5004945 para corrigir a vulnerabilidade de dia zero do PrintNightmare no serviço Windows Print Spooler que afeta todas as versões do sistema operacional Windows. No entanto, o patch ainda está incompleto e a vulnerabilidade ainda pode ser explorada para obter privilégios de sistema.

De acordo com os especialistas, o bug de execução remota de código marcado como CVE-2021-34527, na verdade, permite que criminosos assumam os servidores afetados facilmente por meio da remoção da execução de código com privilégios de sistema. E assim, eles podem instalar programas, visualizar ou modificar ou excluir dados e também podem criar contas com direitos totais de usuário.

Para obter instruções sobre como instalar essas atualizações de segurança no computador, os usuários podem verificar o site oficial da Microsoft correspondente às versões do sistema operacional.

Apesar. A atualização de segurança foi lançada para muitas versões do Windows 10, mas a atualização ainda não foi lançada para o Windows 10 1607, Windows Server 2016 ou Windows Server 2012, no entanto, essas versões receberão as atualizações muito em breve.

A Microsoft disse: “As notas de lançamento associadas a essas atualizações podem ser publicadas com um atraso de até uma hora após as atualizações estarem disponíveis para download”.

Além disso, a empresa acrescentou: “As atualizações para as versões com suporte afetadas restantes do Windows serão lançadas nos próximos dias”.

Falando mais sobre a vulnerabilidade PrintNightmare, ele inclui a execução remota de código, bem como um vetor de escalonamento de privilégio local que pode ser usado por invasores para executar comandos com privilégios de sistema em uma máquina vulnerável.

E depois que a Microsoft lançou a atualização de segurança, o pesquisador chamado Mathew Hickey verificou que o patch resolve apenas o RCE e não o componente LPE.

E isso simplesmente indica que a correção lançada pela empresa ainda está incompleta e os atores da ameaça ainda podem explorar localmente a vulnerabilidade para obter privilégios de sistema.