Resumo
As atualizações de segurança lançadas em 6 de julho de 2021 contêm proteções para uma vulnerabilidade de execução de código remoto no serviço Spooler de Impressão do Windows (spoolsv.exe) conhecido como "PrintNightmare", documentado no CVE-2021-34527. Depois de instalar as atualizações de julho de 2021 e posteriores, os não administradores, incluindo grupos de administradores delegados, como operadores de impressora, não podem instalar drivers de impressora assinados e não assinados em um servidor de impressão. Por padrão, somente os administradores podem instalar drivers de impressora assinados e não assinados em um servidor de impressão.
Observação Antes de instalar as atualizações fora de banda e posteriores de julho de 2021 que contêm proteções para o CVE-2021-34527, o grupo de segurança das operadoras de impressoras poderia instalar drivers de impressora assinados e não Windows assinados em um servidor de impressora. A partir da atualização de julho de 2021, as credenciais de administrador serão necessárias para instalar drivers de impressora assinados e não assinados em um servidor de impressora. Opcionalmente, para substituir todas as configurações de política de Grupo de Restrições de Ponto e Impressão e garantir que apenas os administradores possam instalar drivers de impressora em um servidor de impressão, configure o valor de registro RestrictDriverInstallationToAdministrators como 1.
Recomendamos que você instale imediatamente as atualizações mais recentes do Windows lançadas em ou após 6 de julho de 2021 em todos os sistemas operacionais de cliente e servidor compatíveis com o Windows, começando com dispositivos que atualmente hospedam o serviço de spooler de impressão. Em seguida, de definir "Ao instalar drivers para uma nova conexão" e "Ao atualizar drivers para uma conexão existente" na configuração De Política de Grupo de Restrições de Impressão e Ponto como "Mostrar aviso e prompt de elevação".
Resolução
-
Instale as atualizações de saída ou posteriores de julho de 2021.
-
Verifique se as seguintes condições são verdadeiras:
-
Registro Configurações: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) ou não definido (configuração padrão)
-
UpdatePromptSettings = 0 (DWORD) ou não definido (configuração padrão)
-
-
Política de Grupo: Você não configurou a Política de Grupo de Restrições de Ponto e Impressão.
Se ambas as condições são verdadeiras, você não está vulnerável ao CVE-2021-34527 e nenhuma ação é necessária. Se uma das condições não for verdadeira, você será vulnerável. Siga as etapas a seguir para alterar a Política de Grupo de Restrições de Ponto e Impressão para uma configuração segura.
-
Abra a ferramenta de editor de política de grupo e vá para Configuração do Computador > Modelos Administrativos > Impressoras.
-
Configure a configuração de Política de Grupo de Restrições de Ponto e Impressão da seguinte forma:
-
De definir a configuração de Política de Grupo de Restrições de Impressão e Ponto como "Habilitado".
-
"Ao instalar drivers para uma nova conexão": "Mostrar aviso e prompt de elevação".
-
"Ao atualizar drivers para uma conexão existente": "Mostrar aviso e prompt de elevação".
-
Importante É recomendável aplicar essa política a todos os máquinas que hospedam o serviço de spooler de impressão.
Requisitos de reinicialização: Essa alteração de política não exige uma reinicialização do dispositivo ou do serviço de spooler de impressão após a aplicação dessas configurações.
3. Use as seguintes chaves do Registro para confirmar se a Política de Grupo foi aplicada corretamente:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Aviso Defini-los como valores não zero torna vulneráveis os dispositivos nos quais você instalou a atualização CVE-2021-34527.
Observação A configuração dessas configurações não desabilita o recurso Point and Print.
4. [Recomendado] Substituir Restrições de Ponto e Impressão para que somente os administradores possam instalar drivers de impressão em servidores de impressora. Isso é feito usando a chave do Registro RestrictDriverInstallationToAdministrators. As atualizações lançadas em 6 de julho de 2021 ou posteriores têm um padrão de 0 (desabilitado) até as atualizações lançadas em 10 de agosto de 2021. As atualizações lançadas em 10 de agosto de 2021 ou posteriores têm um padrão de 1 (habilitado). Para obter mais informações sobre como definir RestrictDriverInstallationToAdministrators e outras recomendações relacionadas à impressão, consulte KB5005652 — Gerenciar o novo comportamento de instalação de driver padrão point and print (CVE-2021-34481)
Mais informações
As correções do CVE-2021-34527 impactam o cenário padrão de instalação de driver de Ponto e Impressão para um dispositivo cliente que está se conectando e instalando um driver de impressão para uma impressora de rede compartilhada?
Não, as correções do CVE-2021-34527 não afetam diretamente o cenário padrão de instalação do driver point e print para um dispositivo cliente que está se conectando e instalando um driver de impressão para uma impressora de rede compartilhada. Nesse caso, um dispositivo cliente se conecta a um servidor de impressão e baixa e instala os drivers desse servidor confiável. Esse cenário é diferente do cenário vulnerável em que um invasor está tentando instalar um driver mal-intencionado no próprio servidor de impressão, local ou remotamente.