Esta semana, a Microsoft lançou uma atualização cumulativa que, entre outras coisas, resolveu uma perigosa vulnerabilidade do Windows Print Spooler conhecida como PrintNightmare. Apenas um dia depois, os desenvolvedores confirmaram a presença de outra vulnerabilidade perigosa no spooler de impressão do Windows, cuja exploração permite a execução remota de código.
Imagem: Help Net Security
Estamos falando da vulnerabilidade CVE-2021-36958, que foi descoberta por um pesquisador da Accenture Security Victor Mata (Victor Mata). Segundo relatos, Mata relatou o problema à Microsoft em dezembro do ano passado, e foi divulgado publicamente pelo pesquisador de segurança da informação Benjamin Delpy em julho deste ano.
A exploração do CVE-2021-36958 permite que invasores executem códigos remotamente com privilégios de sistema. Ele se enquadra na categoria de vulnerabilidades que se baseiam no uso indevido de definições de configuração para o spooler de impressão, drivers de impressão e funcionalidade Apontar e imprimir.
«Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios de sistema. Um invasor pode então instalar programas, visualizar, modificar ou excluir dados e criar novas contas com direitos totais de usuário ”, disse a Microsoft em um comunicado.
Embora a Microsoft classifique o problema como execução remota de código, o especialista em segurança cibernética Will Dormann da CERT / CC acredita que o ataque usando CVE-2021-36958 só pode ser realizado localmente. Esta declaração também é apoiada pela classificação de gravidade de vulnerabilidade relativamente baixa na escala CVSS 7.3 / 6.8.
Atualmente, para proteção contra CVE-2021-36958, os desenvolvedores recomendam desativar o spooler de impressão. Muito provavelmente, a Microsoft lançará em breve um patch para corrigir esse problema.