Um bug crítico do spooler de impressão permite que invasores acessem ilegalmente qualquer versão do Microsoft Windows

2016-07-12T23:17:00-11:00Terça-feira, 12 de julho de 2016

Por Swati Khandelwal


O patch de julho da Microsoft oferece 11 boletins de segurança, dos quais seis são classificados como críticos, resolvendo quase 50 falhas de segurança em seus softwares.

A empresa desenvolveu um patch para uma falha de segurança no serviço de Spooler de Impressão do Windows que afeta todas as versões com suporte do Windows lançadas até agora. Essa falha de segurança, se explorada, pode permitir que um invasor assuma o controle de um dispositivo por meio de um mecanismo simples.

Na verdade, a falha “crítica” (CVE-2016-3238) reside na maneira como o Windows lida com instalações de drivers de impressora e na maneira como os usuários finais se conectam a impressoras.


A falha pode permitir que um invasor instale malware remotamente na máquina da vítima, que pode então ser usada para exibir, modificar ou excluir dados ou para criar novas contas com direitos de usuário completos, conforme declarado pela Microsoft no boletim MS16-087, publicado na terça-feira.

Os usuários conectados com menos direitos de usuário no sistema são menos afetados do que os usuários que operam com direitos de usuários administrativos, como algumas contas domésticas e usuários de servidor.

De acordo com a Microsoft, a falha crítica pode ser explorada de forma a permitir execução remota de código se um invasor puder realizar um ataque MiTM (man-in-the-middle) em um sistema ou servidor de impressão ou configurar um servidor de impressão invasor em uma rede de destino.

A falha crítica foi descoberta e denunciada pelos pesquisadores da empresa de segurança Vectra Networks, que divulgou alguns detalhes sobre a vulnerabilidade, mas não publicou seu código POC (prova de conceito)

É possível assistir ao vídeo que mostra acesso ilegal em ação:


Em redes corporativas, por padrão, os administradores de rede permitem que impressoras forneçam os drivers necessários a estações de trabalho ou sistemas conectados à rede. Esses drivers são instalados silenciosamente, sem a interação do usuário, e executados com privilégios totais no âmbito do usuário SYSTEM.

De acordo com os pesquisadores, os invasores podem substituir esses drivers na impressora por arquivos mal-intencionados que poderiam permitir a execução de qualquer código que esses invasores escolhessem.


Mais preocupante: Se a impressora estiver atrás de um firewall, os invasores podem até mesmo acessar ilegalmente outro dispositivo ou computador nessa rede específica e então usá-lo para hospedar seus arquivos mal-intencionados.

Ataques de bebedouro (watering hole) através de impressoras


Como servidores, vários computadores também estão conectados a impressoras em um esforço para imprimir documentos e baixar drivers. Portanto, essa falha permite que um hacker execute ataques de bebedouro (watering hole) tecnicamente usando impressoras.

Ataques de bebedouro (watering hole), ou downloads às pressas, estão direcionados a empresas e organizações, contagiando-as com malware para obter acesso à rede.

“Em vez de infectar os usuários um por um, um invasor pode transformar efetivamente uma impressora em um bebedouro que contagiará todos os dispositivos do Windows que entrarem em contato com ela”, afirma o diretor de segurança da Vectra, Gunter Ollmann.

“Qualquer usuário que se conectar ao compartilhamento de impressora baixará o driver mal-intencionado. Isso move o vetor de ataque de dispositivos físicos para qualquer dispositivo na rede capaz de hospedar uma imagem de impressora virtual.”

Essa falha (CVE-2016-3238) é sem dúvida a vulnerabilidade mais perigosa do ano. Ela é fácil de executar, fornece diferentes maneiras de iniciar ataques e afeta um grande número de usuários.

Uma segunda vulnerabilidade relacionada, a CVE-2016-3239, no boletim MS16-087 é uma falha de escalação de privilégios que pode permitir que os invasores gravem no sistema de arquivos.

O boletim de segurança MS16-088 para o Microsoft Office inclui patches para sete vulnerabilidades de execução remota de código (RCE), seis das quais são falhas de corrupção de memória, que afetam o Microsoft Office, o SharePoint Server e os Office Web Apps.

As falhas podem ser exploradas por arquivos do Office especialmente criados, permitindo que os invasores executem código arbitrário com os mesmos privilégios que o usuário conectado.

O boletim MS16-084 resolve falhas no Internet Explorer e o MS16-085, no Microsoft Edge. As falhas do IE incluem RCE, escalação de privilégios, divulgação de informações confidenciais e bugs de bypass de segurança.

As falhas do Edge incluem diversas falhas de RCE e corrupção de memória no mecanismo Chakra JavaScript, além de bypass ASLR, divulgação de informações confidenciais, corrupção de memória do navegador e bugs de falsificação.

O boletim MS16-086 corrige uma vulnerabilidade nos mecanismos JScript e VBScript no Windows que poderia permitir a um invasor colocar em prática uma falha de execução remota de código, afetando o VBScript 5.7 e o JScript 5.8.

Os cinco boletins restantes classificados como importantes corrigem falhas no Modo de Kernel Seguro do Windows, nos Drivers do Modo de Kernel do Windows, no .NET Framework, no Kernel do Windows e no processo de Inicialização Segura.

Convém que os usuários apliquem patches em seus sistemas e softwares o mais rápido possível.

Original: http://thehackernews.com/2016/07/printer-security-update.html