PrintNightmare (CVE-2021-34527)
O que é PrintNightmare (CVE-2021-34527)?
PrintNightmare (CVE-2021-34527)Vulnerabilidade de 2021 no serviço Print Spooler do Windows que permitia a um utilizador com poucos privilégios instalar um driver de impressão malicioso e executar código com privilégios de SYSTEM.
O PrintNightmare (CVE-2021-34527) é uma falha no serviço Print Spooler do Windows (spoolsv.exe) que não restringia corretamente o acesso à chamada RPC RpcAddPrinterDriverEx(). Ao apontar o spooler para uma DLL maliciosa de driver de impressora alojada numa partilha SMB/UNC remota, qualquer utilizador de domínio autenticado podia fazer com que o spooler — que corre com privilégios de SYSTEM — carregasse e executasse essa DLL, conseguindo tanto uma escalada de privilégios local como, contra um spooler remoto, execução remota de código completa. Como o Print Spooler corre por omissão nos controladores de domínio, o impacto sobre os ambientes Active Directory foi grave.
A divulgação foi caótica: partilha o mesmo caminho de código RpcAddPrinterDriverEx que a CVE-2021-1675, uma LPE «importante» corrigida em junho de 2021. Quando os investigadores publicaram código de prova de conceito no final de junho de 2021 — convencidos de que visava a já corrigida CVE-2021-1675 — tinham, na verdade, desencadeado uma RCE distinta e por corrigir, que a Microsoft reatribuiu como CVE-2021-34527. O ponto crucial: a correção não impedia a exploração onde o Point and Print estava configurado com NoWarningNoElevationOnInstall = 1.
A Microsoft publicou atualizações fora de banda em julho de 2021 e orientações de endurecimento do registo. Defesas: aplicar todas as correções relacionadas com o PrintNightmare, desativar o Print Spooler em servidores que não imprimem (sobretudo os controladores de domínio), restringir a instalação de drivers Point and Print aos administradores e bloquear o SMB de saída para hosts não confiáveis.
flowchart TD
A[Utilizador de domínio com poucos privilégios] --> B[Chamada RPC a spoolsv.exe<br/>RpcAddPrinterDriverEx]
B --> C[O spooler obtém a DLL do driver<br/>de uma partilha SMB/UNC do atacante]
C --> D{Restrições de<br/>Point and Print?}
D -->|Sem restrição| E[O spooler carrega a DLL como SYSTEM]
D -->|Apenas administradores| F[Instalação bloqueada]
E --> G[Execução de código como SYSTEM]
G --> H[Escalada de privilégios local]
G --> I[Execução remota de código no<br/>controlador de domínio]● Exemplos
- 01
Grupos de ransomware a abusar do PrintNightmare para elevar a SYSTEM e implantar payloads em controladores de domínio.
- 02
Operadores red-team a usar o PrintNightmare para escalar de um utilizador de domínio comum para administrador local.
● Perguntas frequentes
O que é PrintNightmare (CVE-2021-34527)?
Vulnerabilidade de 2021 no serviço Print Spooler do Windows que permitia a um utilizador com poucos privilégios instalar um driver de impressão malicioso e executar código com privilégios de SYSTEM. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa PrintNightmare (CVE-2021-34527)?
Vulnerabilidade de 2021 no serviço Print Spooler do Windows que permitia a um utilizador com poucos privilégios instalar um driver de impressão malicioso e executar código com privilégios de SYSTEM.
Como se defender contra PrintNightmare (CVE-2021-34527)?
As defesas contra PrintNightmare (CVE-2021-34527) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para PrintNightmare (CVE-2021-34527)?
Nomes alternativos comuns: CVE-2021-34527, Spoolsv RCE.