Semana 21 de Segurança: Vulnerabilidade no Serviço de Impressão do Windows

As notícias mais interessantes da semana passada vieram como parte do próximo service pack para sistemas operacionais e softwares da Microsoft ( artigo de revisão ). No total, os desenvolvedores fecharam 111 vulnerabilidades, 16 delas sérias. Diferentemente das atualizações cumulativas anteriores, nenhum bug foi explorado até o lançamento do patch.

A vulnerabilidade CVE-2020-1048 (descrição no site da Microsoft, discussão sobre Habré) no serviço de impressão do Windows (mais precisamente, no módulo Windows Print Spooler ) destaca-se não pelo grau de ameaça, mas por seu histórico. Foi encontrado em um antigo código, que aparentemente não foi atualizado desde o Windows NT4.

A descrição formal do problema é a seguinte: uma vulnerabilidade no spooler de impressão permite que um usuário local aumente os privilégios, pois fornece acesso aleatório ao sistema de arquivos. Na última terça-feira, 12 de maio, os pesquisadores Alex Ionescu e Yarden Shafir publicaram uma descrição detalhada do problema. Em palavras simples, o CVE-2020-1048 é formulado no final do artigo: esse é um bug incrivelmente fácil de usar - o sistema pode ser "atacado" com apenas alguns comandos no PowerShell. E isso não é tudo: o estudo nos envia um código ainda mais desatualizado para o envio de fax (!) E o ataque industrial Stuxnet.

A publicação descreve em detalhes o mecanismo de operação do Spooler de impressão - um sistema responsável pela impressão de documentos e pelo gerenciamento de impressoras. Ele pode trabalhar com dispositivos de impressão locais e de rede e também suporta a impressão em um arquivo. O último método é descrito em detalhes no artigo, incluindo o mecanismo para adicionar uma impressora virtual por meio de um comando no PowerShell. Com este resultado:

No final, tudo se resume a apresentar a equipe mágica do tweet acima. O Windows não verificou a validade do "destino", o que possibilitou a criação de uma "impressora" com um registro no arquivo do sistema, neste caso, a biblioteca ualapi.dll. É o suficiente para "imprimir" uma entrada executável arbitrária em uma "impressora" e você obtém controle total sobre o sistema. No patch, os desenvolvedores da Microsoft adicionaram a verificação da porta de impressão. Mais precisamente, ele existia antes disso, mas só funcionava ao usar as ferramentas para trabalhar com o spooler de impressão por meio de uma interface gráfica (uma investigação do Windows Internals mostra uma tentativa de criar essa ferramenta). No entanto, não funcionou ao trabalhar na linha de comando.

Este estudo tem um histórico: já em 30 de abril, Ionescu e Shafir publicaramum artigo sobre um ataque semelhante, mas por meio de um serviço de fax (você se lembra o que é? Não? E o Windows ainda os suporta!). Naquela época, os pesquisadores já conheciam a vulnerabilidade no spooler de impressão, mas precisavam aguardar o lançamento dos patches. Portanto, a publicação anterior tinha que ser ilógica para chamar a segunda parte do estudo e, em algumas semanas, para publicar a primeira.

Em 2010, uma vulnerabilidade semelhante foi encerrada no sistema de impressão do Windows : escalação de privilégios no sistema pela "impressão" arbitrária de dados em um arquivo. O problema foi explorado como parte do ataque cibernético do Stuxnet e adicionado à caixa de ferramentas para fixação no sistema de destino. Na verdade, descobrimos isso durante o estudoCódigo malicioso. Como resultado de um incidente há 10 anos, a defesa do Spooler de Impressão foi reforçada, mas, como agora está claro, não é boa o suficiente.

A Sophos entrevistou empresas sobre ataques cibernéticos por ransomware. A quantidade média de perdas devido a esses incidentes chegou a 730 mil dólares - mas isso é se você não pagar o resgate, mas obter uma cópia dos dados do backup e, de outras formas, restaurar a infraestrutura.

O mais interessante é que o dano médio entre aqueles que cumpriram os requisitos dos crackers acabou sendo o dobro - 1,4 milhão de dólares. Em parte, essa é a "temperatura média no hospital", já que a proteção e a reserva competentes podem economizar seriamente. Mas esse é outro argumento para não pagar cibercriminosos, além de muitos exemplos de dupla extorsão, quando eles primeiro exigem dinheiro para descriptografar os dados e depois por não distribuí-los.

A Microsoft está testando a criptografia DNS usando DNS sobre HTTPS. Recurso disponível no Windows 10 Insider Preview Build 19628 .

Representantes do Facebook pagaram US $ 20 mil pela detecção de um bug no serviço Continue with Facebook. Ele permite que você efetue login em recursos de terceiros por meio de uma conta na rede social. O pesquisador Vinot Kumar descobriu que o Continue with Facebook usa o código JavaScript dos servidores do Facebook para funcionar, que pode ser substituído, o que permite invadir a conta de um visitante. Vulnerabilidade encontrada no

plugin Page Builder para Wordpress. Em teoria, até um milhão de sites estão sujeitos a isso; o erro permite atacar uma conta de administrador do Wordpress executando código malicioso em um navegador.