Consultoria de segurança chinesa achou que falha já estivesse corrigida. Código foi retirado ar após a publicação, mas ainda está circulando na web.
Armin Hanisch/Freeimages.com
Especialistas em segurança da consultoria Sangfor, da China, aparentemente se confundiram a respeito de uma falha corrigida nas últimas atualizações do Windows e divulgaram um código de ataque para uma vulnerabilidade crítica que ainda está aberta no sistema.
O engano teria acontecido porque a Microsoft corrigiu recentemente uma falha no "Spooler de impressão", um componente que gerencia trabalhos enviados a impressoras. O problema foi identificado por vários especialistas em segurança da Tencent Security, AFINE e NSFOCUS.
Uma demonstração de ataque para essa falha foi divulgada então pelo RedDrip Team, um braço de pesquisa em segurança da QiAnXin, da China. Foi então que a Sangfor, possivelmente imaginando que era o mesmo problema que eles tinham identificado, divulgou um código de ataque.
Como as vulnerabilidades eram diferentes, a Sangfor acabou divulgando uma brecha inédita e que ainda representa um risco para os usuários.
Por conta da ligação com o spooler de impressão, a Sangfor batizou a falha de PrintNightmare ("pesadelo de impressão").
O código foi retirado do ar, mas isso não impediu que a versão publicada continuasse circulando.
Especialistas em segurança já confirmaram que a brecha divulgada pela Sangfor pode ser usada para invadir um sistema Windows com acesso total.
O potencial de dano dessa falha é especialmente alto em contextos empresariais, em que o atacante pode roubar uma credencial e propagar um código malicioso (como um instalador de vírus de resgate) para vários computadores de um escritório.
WINDOWS 11: requisitos podem 'arrumar a casa' para a segurança do novo sistema
Microsoft deixou software malicioso passar por processo que dá acesso privilegiado a códigos no Windows
É possível recuperar arquivos sequestrados por vírus de resgate?
Ética na divulgação de falhas
Quando pesquisadores encontram uma vulnerabilidade em um software, a regra geral é manter todos os detalhes técnicos do problema em sigilo até que a desenvolvedora disponibilize uma atualização que imunize o sistema.
Resguardar as informações de uma falha após a correção ser aplicada não traz muitos benefícios. Hackers podem estudar a atualização e isolar as modificações, trilhando o caminho inverso para descobrir a vulnerabilidade muito mais rapidamente.
Dito de outra forma, uma atualização de segurança serve como uma "confissão" da vulnerabilidade.
Contudo, não é viável deixar de corrigir o problema para evitar essa "confissão", já que isso colocará todos os usuários em risco caso algum atacante descubra a falha por conta própria antes do erro ser corrigido.
Por esse motivo, a divulgação do trabalho que levou à descoberta de uma vulnerabilidade é considerada correta, além de ajudar outros especialistas na busca por problemas semelhantes.
Além disso, para facilitar o acompanhamento desse processo, fabricantes de software atribuem números de identificação chamados de "CVE". Nas atualizações de junho que foram lançadas no dia 8, a Microsoft corrigiu a falha CVE-2021-1675 no "spooler de impressão".
Embora estivesse localizada no mesmo componente do Windows, esta falha era diferente daquela identificada pela Sangfor – criando uma confusão, que em teoria, deveria ter sido evitada pelos procedimentos que já existem.
Aparentemente, a Sangfor não tinha contatado a Microsoft sobre o problema. Segundo o site "The Record", os analistas escreveram que pretendiam demonstrar a falha em uma competição de segurança.
Caso o serviço de impressão seja desativado, todas as impressoras do sistema ficarão 'desconectadas', incluindo os serviços de impressão virtual.
Reprodução
Como se proteger
A brecha não deve representar um risco imediato para os usuários domésticos, mas empresas precisam tomar cuidado.
Um vírus só poderia explorar essa falha depois de já ter contaminado o computador e, por isso, as precauções rotineiras contra vírus (uso de antivírus e evitar o download de programas) são eficazes para se proteger.
Em redes empresariais, a situação é muito mais grave. Não é incomum que diversos computadores em rede sejam acessíveis pelas mesmas credenciais de acesso. Dessa forma, a invasão de um computador pode permitir que a falha seja usada para atacar outras máquinas.
Desabilitar o serviço de "spooler de impressão" ajuda a impedir a exploração da falha, mas impede o Windows de imprimir qualquer documento. Impressoras virtuais (como a "Imprimir para PDF") também ficam indisponíveis.
Até o momento, não há uma data para a Microsoft corrigir esta vulnerabilidade. O próximo pacote de atualizações será lançado só no dia 13 de julho, mas a empresa ocasionalmente divulga atualizações emergenciais fora do cronograma mensal.
Como proteger seu WhatsApp de golpes
Golpes no Whatsapp: saiba como se proteger
Veja dicas para manter seguro on-line
