# CVE-2021-1675 - PrintNightmare: RCE no Windows Print Spooler > [!high] CVE-2021-1675 é o PrintNightmare — vulnerabilidade crítica no serviço Windows Print Spooler que permite RCE e escalada de privilégios, explorada extensivamente por grupos de ransomware incluindo Vice Society e Black Basta. ## Visão Geral CVE-2021-1675, parte da saga **PrintNightmare**, é uma vulnerabilidade no serviço **Windows Print Spooler** (`spoolsv.exe`) que permite execução remota de código e escalada de privilégios locais. A falha reside na função `RpcAddPrinterDriver`, que pode ser abusada para carregar uma DLL maliciosa no contexto do SYSTEM. O Print Spooler é habilitado por padrão em práticamente todas as instalações Windows, incluindo Domain Controllers — tornando o impacto da vulnerabilidade devastador em ambientes corporativos. Um usuário de domínio comum pode explorar esta CVE para comprometer um DC diretamente. O exploit foi acidentalmente públicado no GitHub em junho de 2021 antes de um patch adequado, desencadeando uma onda de exploração imediata. A CVE-2021-34527, públicada dias depois, descreve o mesmo vetor de exploração mas com foco no componente remoto. Grupos de ransomware como **Vice Society** usaram PrintNightmare extensivamente contra hospitais e instituições educacionais. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | DLL injection via RpcAddPrinterDriver | | Serviço afetado | Print Spooler (spoolsv.exe) | | Contexto de execução | SYSTEM | | Variante | Local (LPE) e Remota (RCE) | | Ferramenta pública | PrintNightmare.py, Impacket | ## TTPs Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068]] - Escalada de privilégio via exploit - [[t1574-002-dll-side-loading|T1574.002]] - DLL side-loading no Print Spooler - [[t1021-002-smb-windows-admin-shares|T1021.002]] - Movimento lateral pós-exploit - [[m1038-execution-prevention|M1038]] - Desabilitar o Print Spooler em DCs ## Contexto LATAM > [!latam] Grupos como **Vice Society** vitimaram hospitais e universidades na América Latina usando PrintNightmare, com incidentes documentados no Brasil e Argentina em 2021-2022. O Print Spooler habilitado em servidores legados de saúde foi vetor direto de acesso. ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar patch de junho de 2021 (KB5004945) imediatamente - Desabilitar Print Spooler em Domain Controllers (`Stop-Service -Name Spooler -Force`) - Restringir `Point and Print` via GPO - Monitorar carregamento de DLLs anômalas pelo processo `spoolsv.exe` ## Referências - [Microsoft CVE-2021-1675](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675) - [CISA PrintNightmare Advisory](https://www.cisa.gov/news-events/alerts/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability) - [BleepingComputer — PrintNightmare Exploited by Ransomware](https://www.bleepingcomputer.com/news/security/vice-society-ransomware-exploits-printnightmare-in-attacks/)