PrintNightmare é um bug crítico do Windows de dia zero que permite a execução remota de código. Afeta todas as máquinas Windows com suporte, incluindo terminais e servidores. Para obter mais informações sobre o bug, leia o artigo sobre Segurança Naked.
Em 1º de julho de 2021, ainda não havia um patch oficial para resolver esse bug. Dada a gravidade, prevemos que a Microsoft lançará uma correção o mais rápido possível.
SophosLabs está trabalhando para gerar proteção para PrintNightmare como uma prioridade.
O que fazer
- Desligue o spooler de impressão sempre que puder
- Limite o acesso aos serviços de spooler de impressão tão estritamente quanto você pode em máquinas Windows onde ele realmente não pode ser desligado
- Esteja atento para o patch e aplique na primeira oportunidade
Como identificar dispositivos que executam o Spooler de Impressão
Usando Sophos EDR e Sophos XDR
Os clientes Sophos EDR e Sophos XDR podem usar o Live Discover para executar a consulta abaixo para identificar rapidamente quais dispositivos têm o serviço Print Spooler em execução. Se estiver em execução, o computador estará potencialmente exposto a vulnerabilidades não corrigidas, como o PrintNightmare.
SELECT display_name, status, start_type, user_account, CASE WHEN status = 'RUNNING' THEN ' Exposed to unpatched vulnerabilities inc. PrintNightmare' WHEN status = 'STOPPED' THEN ' NOT exposed to unpatched vulnerabilities inc. PrintNightmare' END AS SpoolerCheck, CASE WHEN start_type = 'AUTO_START' THEN 'Set Spooler to DISABLED or DEMAND_START' END AS ServiceCheck FROM services WHERE path = 'C:\Windows\System32\spoolsv.exe';
Sua consulta deve ser semelhante a esta:
As organizações que usam a proteção Sophos gerenciada por meio do Sophos Central podem ativar o Sophos EDR gratuitamente, por 30 dias, usando o recurso Avaliações Gratuitas em seu console Sophos Central.
Usando o comando Windows SC (Service Control)
Para ver se o serviço Spooler está sendo executado em seu computador, você pode usar o comando Windows SC (Service Control) em uma janela de prompt de comando, por exemplo,
C:\Users\duck>sc query spooler SERVICE_NAME: spooler TYPE : 110 WIN32_OWN_PROCESS (interactive) STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
Você pode evitar que o spooler inicie sozinho, mesmo após uma reinicialização, com:
C:\Users\duck>sc config spooler start= disabled
Observe que não deve haver espaço entre o início da palavra e o caractere =, mas você precisa de um espaço entre o sinal = e a palavra desativada. Você precisa iniciar o prompt de comando (CMD.EXE) como Administrador para reconfigurar os serviços.
Reinicie e você verá isto:
C:\Users\duck>>sc query spooler SERVICE_NAME: spooler TYPE : 110 WIN32_OWN_PROCESS (interactive) STATE : 1 STOPPED WIN32_EXIT_CODE : 1077 (0x435) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
Atualizaremos este artigo com mais informações assim que disponíveis.