Ao que parece, mesmo com a atualização KB5004237 de julho de 2021 para Windows 10, o Print Nightmare continua a ocorrer, permitindo que invasores tenham acesso ao sistema utilizando drivers de impressora maliciosos. O relato veio através do site BleepingComputer, onde é dito que o pesquisador de segurança do Mimikatz, Benjamin Delpy, encontrou uma forma de abusar do método normal do Windows de instalar drivers de impressora e obter privilégios sobre o local SYSTEM através de drivers maliciosos de impressoras.

Em junho, pesquisadores de segurança divulgaram essa vulnerabilidade, identificada como CVE-2021-34527. Essa falha de segurança afeta o Windows Print Spooler, serviço do sistema operacional responsável pelo gerenciamento de impressão feito pelo "Spooler de impressão". Através dessa funcionalidade, ativada por padrão no Windows, invasores executam códigos para controlar o computador remotamente. Para tentar barrar isso, a Microsoft chegou a lançar a atualização KB5004945 até que o Patch Tuesday de julho chegasse com as correções definitivas, entretanto, não foi isso que aconteceu, como dito acima.

O Print Nightmare continua mesmo após a atualização KB5004237

De acordo com o pesquisador de segurança e criador do programa Mimikatz, Benjamin Delpy, há uma forma de abusar do método normal do Windows de instalar drivers de impressora e obter privilégios sobre o local SYSTEM através de drivers maliciosos de impressoras. Isso é possível ser feito mesmo se o administrador da máquina utilizar as orientações da Microsoft para restringir a instalação do driver da impressora e desativar o recurso "Point and Print".

Mesmo que o método utilizado por Benjamin não seja o mesmo que é geralmente aplicado pelos invasores que exploraram o "PrintNightmare", o pesquisador disse ao BleepingComputer que os bugs de instalação de drivers de impressora que ele encontrou são semelhantes aos classificados com o mesmo nome. Benjamin explica que mesmo que se aplique os passos orientados pela Microsoft, o invasor pode criar um pacote de driver de impressão malicioso assinado e utilizá-lo para obter privilégios de sistema em outros sistemas.

Como a invasão pode acontecer

Para que o invasor consiga acessar o sistema do computador da vítima, ele cria um driver de impressão malicioso e o assina utilizando um certificado Authenticode confiável seguindo estas etapas. Entretanto, alguns hackers optam por utilizar o método "Rolls Royce" de assinatura de drivers, onde se compra ou rouba um certificado EV e o envia para validação Microsoft WHQL como uma empresa falsa. Após ter o pacote de driver de impressora assinado, o invasor pode instalar o driver em qualquer dispositivo de rede que contenha privilégios administrativos.

Após invasor um dispositivo de rede, o invasor pode utilizar o driver para obter privilégios de sistema em outros aparelhos onde não se tiverem os privilégios elevados. Confira o vídeo de exemplo abaixo:

Benjamin diz que através desta técnica, os invasores conseguem invadir lateralmente uma rede já comprometida. Entretanto, para que isso não ocorra, é possível desabilitar o Spooler de Impressão ou habilitar a política de grupo "Point and Print" para limitar os servidores que um dispositivo pode baixar os drivers de impressão. Porém, ao habilitar o "Point and Print", pode permitir que as falhas exploradas pelo PrintNightmare possam contornar a atualização disponibilizada por último pela Microsoft para o Windows.

Dificilmente a falha será corrigida

Benjamin conta que já tentou evitar esse tipo de ataque no passado tentando substituir a versão 3 dos drivers de impressão. Entretanto, isso causou problemas e a Microsoft acabou encerrando a política de suspensão de uso da v3 em junho de 2017.

De acordo com o pesquisador de segurança, infelizmente o método de invasão citado acima provavelmente não será corrigido, pois "o Windows foi projetado para permitir que um administrador instale um driver de impressora, mesmo no caso daqueles que podem ser desconhecidamente maliciosos. Além disso, o Windows foi projetado para permitir que usuários não administradores instalem drivers assinados em seus dispositivos para facilitar o uso."

O software de segurança será a principal defesa contra esse tipo de ataque ao detectar o driver ou comportamento malicioso.