# CVE-2021-34527 - PrintNightmare Variante Remota (RCE via Print Spooler) > [!high] CVE-2021-34527 é a variante remota do PrintNightmare — permite que qualquer usuário autenticado de domínio execute código como SYSTEM em servidores Windows, incluindo Domain Controllers, via serviço Print Spooler. ## Visão Geral CVE-2021-34527 complementa CVE-2021-1675 na saga **PrintNightmare**, cobrindo específicamente o vetor de exploração **remoto autenticado**. Um usuário de domínio autenticado pode abusar da função `RpcAddPrinterDriverEx` para forçar um servidor remoto a carregar uma DLL maliciosa hospedada num share SMB controlado pelo atacante. O impacto é idêntico ao da variante local: execução de código no contexto `NT AUTHORITY\SYSTEM`. A diferença crítica é que esta variante funciona remotamente — bastando ter credenciais de domínio e conectividade ao servidor alvo. Em ambientes onde o Print Spooler está habilitado em Domain Controllers (que é o padrão), qualquer funcionário autenticado pode escalar para Domain Admin. A Microsoft públicou um patch de emergência fora de ciclo em 6 de julho de 2021. No entanto, o patch inicial foi incompleto, exigindo atualizações subsequentes. Grupos como **Black Basta** e **Conti** integraram PrintNightmare em seus playbooks operacionais de comprometimento de AD. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | DLL injection remota via RpcAddPrinterDriverEx | | Autenticação | Requerida (qualquer usuário de domínio) | | Serviço | Print Spooler (spoolsv.exe) | | Contexto | NT AUTHORITY\SYSTEM | | CVE relacionada | CVE-2021-1675 (variante local) | ## TTPs Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068]] - Exploração para escalada de privilégio - [[t1574-002-dll-side-loading|T1574.002]] - DLL maliciosa via Print Spooler - [[t1021-002-smb-windows-admin-shares|T1021.002]] - SMB share para hospedar DLL maliciosa - [[m1038-execution-prevention|M1038]] - Desabilitar Print Spooler em DCs ## Contexto LATAM > [!latam] PrintNightmare foi uma das vulnerabilidades mais exploradas por ransomware em 2021-2022 na América Latina, com grupos como **Vice Society** e **Hive** comprometendo hospitais e prefeituras brasileiras que mantinham Print Spooler habilitado em Domain Controllers. ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar patch KB5004945 e atualizações subsequentes - Desabilitar Print Spooler em todos os DCs e servidores que não necessitam de impressão - Restringir criação de printer drivers via GPO (`RestrictDriverInstallationToAdministrators`) - Monitorar Event ID 316 (Print Spooler) para carregamento de drivers inesperados ## Referências - [Microsoft CVE-2021-34527](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527) - [MSRC Blog — Guidance on PrintNightmare](https://msrc-blog.microsoft.com/2021/07/01/out-of-band-update-for-the-windows-print-spooler-vulnerability-CVE-2021-34527/) - [Sophos — PrintNightmare Used by Ransomware Groups](https://news.sophos.com/en-us/2021/07/08/printnightmare-exploit-used-as-malware-delivery/)