O pesadelo de impressão do Windows continua para empresas

Ok, Microsoft, nós precisamos conversar. Ou melhor, nós precisamos imprimir. Nós realmente precisamos. Não estamos todos livres papel aqui no mundo dos negócios – muitos de nós ainda precisam clicar no botão imprimir dentro de nossos aplicativos de negócios e imprimir coisas em uma folha de papel real ou enviar algo para uma impressora PDF. Mas, nos últimos meses, você tornou quase impossível ficar totalmente atualizado e continuar imprimindo.

Caso em questão: as atualizações de segurança de agosto.

A Microsoft fez uma alteração na forma como as diretrizes da Política de Grupo das impressoras são tratadas ao alterar o comportamento padrão de Point and Print (Apontar e Imprimir) para lidar com as vulnerabilidades “PrintNightmare” que afetam o serviço Windows Print Spooler.

Conforme observado em KB5005652, “por padrão, os usuários não administradores não poderão mais fazer as seguintes coisas usando Point and Print sem uma elevação de privilégio de administrador:

• Instalar novas impressoras usando drivers em um computador ou servidor remoto;
• Atualizar os drivers de impressora existentes usando drivers de um computador ou servidor remoto”.

No entanto, o que estamos vendo na lista do PatchManagement.org é que qualquer pessoa com um driver de impressão estilo V3 está solicitando que seus usuários reinstalem os drivers ou instale novos drivers. Por exemplo, quando o servidor de impressão está em um servidor Server 2016, as impressoras são removidas por meio da Política de Grupo e, se o driver de impressora do fornecedor é um driver V3, ele estará acionando a reinstalação dos drivers de impressão. Também estamos vendo que quando o patch está na estação de trabalho e não no servidor, ele estará acionando uma reinstalação dos drivers de impressão.

Dado que as empresas tendem a manter os usuários sem direitos de administrador para limitar o movimento lateral (e francamente porque a Microsoft nos disse ao longo dos anos que operar com direitos de administrador era uma coisa ruim), agora temos que decidir dar aos usuários direitos de administrador local, fazer um ajuste de chave de registro que enfraquece a segurança ou reverter o patch, até que a Microsoft descubra o que deu errado.

Aqueles que desejam fazer a alteração do registro podem abrir uma janela do prompt de comando com permissões elevadas e inserir o seguinte:

reg add “HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ Printers \ PointAndPrint” / v RestrictDriverInstallationToAdministrators / t REG_DWORD / d 0 / f

Mas fazer isso expõe você a vulnerabilidades conhecidas publicamente – o que nem a Microsoft nem eu recomendamos.

Chegando ao cerne do problema de impressão

A Microsoft reconheceu em particular, em um caso de suporte ao cliente, que “o prompt admin/install para drivers e impressoras já instaladas é um comportamento inesperado”. Continuou dizendo: “Recebemos novos relatos de que isso também está afetando os clientes onde os drivers/impressoras, etc. já estão instalados e já estão sob investigação, não temos um tempo estimado de conserto ainda, mas estamos trabalhando nisso”. Mas, embora a empresa possa estar reconhecendo em particular que há um problema com a impressão, não o está exibindo no Painel de Integridade do Windows.

Anthony J. Fontanez trouxe aqui e aqui uma grande discussão sobre o que está acontecendo. Como ele aponta, uma das soluções é garantir que você tenha drivers de impressora V4 implantados em sua rede. Mas aí está um problema – muitas vezes é extremamente difícil determinar se os drivers são V3 ou V4. No caso das impressoras Hewlett Packard, PCL 6 denota V3, enquanto PCL-6 (observe o hífen) denota V4. Pode ser necessário implantar os drivers em uma máquina virtual de teste para determinar exatamente qual driver de impressora você possui.

Se o fornecedor da sua impressora não tiver uma versão V4 do driver da impressora, certifique-se de entrar em contato com o seu fornecedor – especialmente se eles estiverem sob concessões ativas – e exigir que eles apresentem um driver revisado. Como Fontanez escreveu, “os drivers V4 usam um driver específico do modelo no servidor de impressão. Quando os clientes se conectam a uma impressora em um servidor usando um driver V4, eles não baixam nenhum driver. Em vez disso, eles usam um driver pré-carregado genérico denominado ‘Microsoft Enhanced Point and Print’”. No entanto, alguns administradores de rede indicaram que os drivers V4 também não são a solução.

Mas mesmo que você consiga instalar as atualizações de agosto em sua rede, isso não significa que você está totalmente protegido contra vulnerabilidades do spooler de impressão. Há ainda outro CVE (CVE-2021-36958) para o qual não temos patch e a única solução é desativar o spooler de impressão. Tudo o que sabemos oficialmente neste momento é que: “Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa indevidamente operações de arquivo com privilégios. Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos de usuário totais. A solução alternativa para essa vulnerabilidade é interromper e desabilitar o serviço Spooler de impressão”.

Se você é um consumidor, o problema não é tão sombrio. Ainda não vi um usuário doméstico ou consumidor ter problemas com impressão ou digitalização depois que as atualizações de agosto foram instaladas. Dito isso, ainda estamos vulneráveis ​​ao CVE-2021-36958 sem patch. Se você já tem as atualizações de agosto instaladas e não está tendo nenhum efeito colateral com a impressão ou digitalização, deixe as atualizações de segurança de agosto instaladas.

Portanto, o que você pode fazer neste momento se tiver uma empresa e precisar imprimir?

• Revise quais servidores e computadores realmente precisam imprimir. Claramente, os problemas básicos de segurança com o código do servidor de impressão ainda precisam ser corrigidos e não parece que serão corrigidos em breve.
• Considere imprimir um direito específico que você concede apenas àqueles em sua rede que realmente precisam desse direito, em vez de ter o serviço de spooler de impressão ativado automaticamente em toda a rede.
• Desative o serviço em todos os controladores de domínio e mantenha-o assim até novo aviso.
• Limite os servidores em sua rede que possuem funções de servidor de impressão.
• Tente limitar os servidores da melhor maneira possível para monitorar e limitar o tráfego para essas máquinas.
• Desative a função de servidor de impressão nas estações de trabalho, a menos que precise imprimir.
• Reavalie seu fluxo de trabalho e processos e veja se há maneiras de mover esses fluxos de negócios para processos baseados na web ou algo que não dependa de papel, toner e impressoras.

Uma palavra final para a Microsoft

Microsoft, você precisa fazer melhor do que está fazendo agora, porque ainda imprimimos. E durante o ano passado você interrompeu a impressão muitas vezes. Sei que você pode estar “sem papel” e mudando para tudo eletrônico, mas esteja um pouco mais ciente de que seus clientes corporativos ainda não chegaram lá.

Seus clientes não devem ter que fazer a escolha dolorosa de remover a atualização para funcionar em seus negócios, ou pior ainda, ter que realizar um ajuste no registro, o que permite que a empresa imprima, mas expõe a empresa a vulnerabilidades como resultado.

Tenho corrigido sistemas por mais de 20 anos, e se a melhor coisa que podemos dizer a uma empresa neste momento é “desinstalar a atualização para continuar funcionando”, não consertamos nada em 20 anos de atualização. As empresas ainda não podem consertar imediatamente como você nos encoraja a fazer. Ainda temos que esperar para ver se há efeitos colaterais e lidar com os efeitos posteriores.

Então, Microsoft? Se você deseja que façamos um patch imediatamente, você precisa saber que muitos de nós ainda precisam imprimir.