Vulnerabilidades antigas são difíceis de morrer: pesquisadores descobrem código de 20 anos no Windows Print Spooler
Todo sistema operacional Microsoft Windows possui um arquivo que gerencia comandos para imprimir documentos. É onipresente a ponto de passar despercebido. Mas quando os pesquisadores da empresa de segurança SafeBreach examinaram mais de perto o arquivo, que é chamado de Serviço de Spooler de Impressão, eles notaram que parte do código tem duas décadas.
Uma vulnerabilidade de negação de serviço que os pesquisadores relataram no início deste ano, que trava o serviço de spooler, funcionou não apenas no Windows 10, o sistema operacional mais recente, mas também no Windows 2000.
Mas os pesquisadores ainda não tinham terminado a análise do serviço de spooler.
“Ficamos intrigados, então continuamos a mergulhar”, disse Peleg Hadar, pesquisador de segurança sênior do SafeBreach Labs. Eles encontraram outro bug no serviço de spooler que pode permitir que um invasor obtenha privilégios de sistema em uma máquina. Depois que a Microsoft corrigiu o problema em maio, Hadar e seu colega, Tomer Bar, fizeram a engenharia reversa do patch e desenvolveram um novo exploit que a Microsoft ainda está trabalhando para resolver.
Ao apresentar suas descobertas na conferência de hackers Black Hat no começo de agosto, Hadar e Bar lançam um código de prova de conceito no GitHub projetado para ajudar a detectar ataques ao serviço de spooler.
“Queríamos que as pessoas pensassem em uma abordagem mais ampla sobre como esses tipos de problemas podem ser mitigados”, disse Hadar à CyberScoop.
O malware mais famoso por abusar de um serviço de spooler de impressão foi o Stuxnet, o worm de computador que sabotou centrífugas em uma instalação nuclear iraniana há uma década. O Stuxnet se espalhou, em parte, por meio de uma exploração que copiava o malware em computadores remotos por meio do serviço de spooler.
Fonte: CyberScoop