Produtos e serviços PRODUTOS E SERVIÇOS

Vulnerabilidade PrintNightmare: o que fazer

Escrito por
July 1, 2021
Products & Services PrintNightmare vulnerability Zero-day

PrintNightmare é um bug crítico do Windows de dia zero que permite a execução remota de código. Afeta todas as máquinas Windows com suporte, incluindo terminais e servidores. Para obter mais informações sobre o bug, leia o artigo sobre Segurança Naked.

Em 1º de julho de 2021, ainda não havia um patch oficial para resolver esse bug. Dada a gravidade, prevemos que a Microsoft lançará uma correção o mais rápido possível.

SophosLabs está trabalhando para gerar proteção para PrintNightmare como uma prioridade.

O que fazer

  1. Desligue o spooler de impressão sempre que puder
  2. Limite o acesso aos serviços de spooler de impressão tão estritamente quanto você pode em máquinas Windows onde ele realmente não pode ser desligado
  3. Esteja atento para o patch e aplique na primeira oportunidade

Como identificar dispositivos que executam o Spooler de Impressão

Usando Sophos EDR e Sophos XDR
Os clientes Sophos EDR e Sophos XDR podem usar o Live Discover para executar a consulta abaixo para identificar rapidamente quais dispositivos têm o serviço Print Spooler em execução. Se estiver em execução, o computador estará potencialmente exposto a vulnerabilidades não corrigidas, como o PrintNightmare.

SELECT display_name, status, start_type, user_account,
CASE
   WHEN status = 'RUNNING' THEN ' Exposed to unpatched vulnerabilities inc. PrintNightmare'
   WHEN status = 'STOPPED' THEN ' NOT exposed to unpatched vulnerabilities inc. PrintNightmare'
   END AS SpoolerCheck,
CASE
   WHEN start_type = 'AUTO_START' THEN 'Set Spooler to DISABLED or DEMAND_START'
   END AS ServiceCheck
FROM services WHERE path = 'C:\Windows\System32\spoolsv.exe';

Sua consulta deve ser semelhante a esta:

Click to expand

As organizações que usam a proteção Sophos gerenciada por meio do Sophos Central podem ativar o Sophos EDR gratuitamente, por 30 dias, usando o recurso Avaliações Gratuitas em seu console Sophos Central.

Usando o comando Windows SC (Service Control)

Para ver se o serviço Spooler está sendo executado em seu computador, você pode usar o comando Windows SC (Service Control) em uma janela de prompt de comando, por exemplo,

C:\Users\duck>sc query spooler

SERVICE_NAME: spooler
        TYPE               : 110  WIN32_OWN_PROCESS  (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Você pode evitar que o spooler inicie sozinho, mesmo após uma reinicialização, com:

C:\Users\duck>sc config spooler start= disabled

Observe que não deve haver espaço entre o início da palavra e o caractere =, mas você precisa de um espaço entre o sinal = e a palavra desativada. Você precisa iniciar o prompt de comando (CMD.EXE) como Administrador para reconfigurar os serviços.

Reinicie e você verá isto:

C:\Users\duck>>sc query spooler

SERVICE_NAME: spooler
        TYPE               : 110  WIN32_OWN_PROCESS  (interactive)
        STATE              : 1  STOPPED
        WIN32_EXIT_CODE    : 1077  (0x435)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Atualizaremos este artigo com mais informações assim que disponíveis.

Sobre o autor

Senior Director of Product Marketing (SecOps and DevSecOps) at Sophos

Leia artigos similares