Nos últimos dias, foi descoberta uma vulnerabilidade crítica no serviço de impressão do Windows (Windows Print Spooler) que deixou a comunidade de segurança da informação em pânico. Essa falha, conhecida como PrintNightmare (CVE-2021-1675), permite que um usuário autenticado eleve as vantagens e acesse servidores remotamente com previlégios de sistema.
“Grandes ataques ciberneticos às empresas acontecem por deficiências no serviço de impressão. Com o PrintNightmare não é diferente. Essa vulnerabilidade explora uma configuração incorreta no serviço da impressora em sistemas Windows e permite que o invasor com credenciais de domínio execute uma DLL de driver de impressão mal-intencionada”, explica Ricardo Tavares, professor coordenador da pós-graduação de Cyber Security do Instituto Daryus de Ensino Superior Paulista (IDESP).
Segundo o especialista, as equipes de TI das empresas devem ficar atentas a possíveis ataques, já que os serviços de impressão sempre foram muito vulneráveis. “A Microsoft trabalha em uma atualização do sistema, mas enquanto isso não acontece, o ideal é que as empresas desabilitem a entrada da impressão remota. Com isso, é bloqueado também a movimentação lateral, que há anos é bastante usada pelos cibercriminosos em ataques”, recomenda.
“Sem um Patche de correção o máximo que podemos fazer é remediar a situação para que não se torne um vetor de ataque gigantesco na organização, principalmente por ser um serviço bem presente em todos os sistemas operacionais Windows”, complementa.
PrintNightmare: nova vulnerabilidade no Windows é explorada por cibercriminosos
Confira abaixo algumas dicas do professor para as empresas se protegerem:
1 – Instale os patches: garanta que instalou todos os patches disponibilizados oficialmente pela Microsoft;
2 – UAC ativado: certifique-se que em seu ambiente o UAC (User Account Control) não esteja desativado;
3 – PrintAndPoint: tome cuidado para que não existam as chaves do PrintAndPoint, pois isso permite que os drives da impressora sejam automaticamente atualizados ou instalados;
4 – Active Directory: garanta que o serviço de spool de impressão nos servidores do Active Directory estão desativados, ou que o grupo “Pre-Windows 200 Compatible Acess” esteja vazio.
Além de todos esses processos, é recomendável uma gestão de vulnerabilidades para diminuir os riscos, reforçar os controles de segurança e conscientizar os colaboradores da companhia.
Sobre o IDESP
Fundado em 2005, o Grupo Daryus, de origem e capital 100% brasileiro, tornou-se referência na atuação de Consultoria e Educação em GRC. A Daryus Educação promoveu a capacitação profissional para mais de 20 mil alunos, 60 cursos oferecidos, sendo 9 cursos de pós-graduação reconhecidos pelo Ministério da Educação e parcerias com faculdade e institutos renomados. Atualmente, a empresa se reposiciona com o Instituto Daryus de Ensino Superior Paulista (IDESP) e continua a oferecer conhecimento em cursos voltados para educação executiva, treinamento e certificações internacionais nas áreas de continuidade de negócios, cibersegurança, segurança da informação, forense digital, inteligência de ameaças cibernéticas, gestão de riscos, gestão de TI, projetos e processos, entre outros.A empresa é pioneira na criação dos cursos de pós-graduação de segurança da informação, perícia forense digital, gestão de riscos, continuidade de negócios e cibersegurança. Para mais informações, acesse: https://www.daryus.com.br/pos-graduacao
