Em ambientes corporativos que dependem de varreduras de segurança automatizadas, a permanência de versões antigas dos aplicativos Paint 3D, Print 3D e 3D Builder pode manter centenas de endpoints classificados como “vulneráveis”, mesmo depois de tentativas de remoção ou atualização. Este artigo detalha por que isso ocorre, mostra métodos 100 % eficazes para atualizar ou eliminar totalmente esses pacotes UWP (Universal Windows Platform) e apresenta práticas de gestão que evitam o reaparecimento do problema.
Panorama da vulnerabilidade
Desde 2022 diversas versões legadas dos aplicativos “Mixed Reality & 3D” foram associadas a CVEs que permitem execução remota de código (RCE) quando o usuário abre modelos 3D mal‑formados. Embora a Microsoft já tenha disponibilizado builds corrigidos na Microsoft Store, muitas estações permanecem em releases como 6.1907.x (Paint 3D) ou 3.3.311.0 (Print 3D). Os scanners — Nessus, Qualys, Rapid7, entre outros — usam duas regras simples:
- Versão do pacote registrada em
HKLM\Software\Microsoft\Windows\CurrentVersion\AppX\AppxAllUserStore. - Presença de pastas em
C:\Program Files\WindowsAppsque coincidam com o identificador do aplicativo.
Se apenas um dos critérios for satisfeito, o host ainda é marcado como vulnerável. Assim, tentativas de remoção pela interface gráfica ou Remove‑AppxPackage podem não bastar, pois resquícios permanecem no disco com ACLs protegidas.
Soluções recomendadas
Antes de decidir entre upgrade ou remoção, verifique o requisito de negócio: alguns fluxos CAD/CAM usam explícitamente Print 3D ou 3D Builder para preparar arquivos STL/OBJ. Caso nenhum processo dependa dessas ferramentas, a desinstalação é a forma mais rápida de encerrar alertas de vulnerabilidade.
| Aplicativo | Opção A – Atualizar (build seguro) | Opção B – Remover por completo |
|---|---|---|
| Paint 3D | 1. Obtenha o pacote assinado Microsoft.MSPaint2024.2410.13017.0neutral~8wekyb3d8bbwe.AppxBundle (ou superior).2. Instale dependências faltantes: Microsoft.VCLibs.140.00*.AppxMicrosoft.UI.Xaml.2.7*.Appx3. Execute o bundle do Paint 3D. 4. Reinicie o Windows. | powershell Get‑AppxPackage Microsoft.MSPaint ‑AllUsers \| Remove‑AppxPackage ‑AllUsers |
| Print 3D | Migre para o 3D Builder ≥ 3.3.791.0, que incorpora todas as funções de impressão 3D e já contém os patches de segurança. | powershell Get‑AppxPackage Print3D ‑AllUsers \| Remove‑AppxPackage ‑AllUsers |
| 3D Builder | Instale a versão 18.x diretamente da Microsoft Store ou por bundle offline. | powershell Get‑AppxPackage 3DBuilder ‑AllUsers \| Remove‑AppxPackage ‑AllUsers |
Procedimento passo a passo
1. Identificar o estado atual
powershell
Get‑AppxPackage Microsoft.MSPaint, Print3D, 3DBuilder ‑AllUsers |
Select Name, Version, PackageFullName
Anote as versões. Qualquer release anterior aos números citados na tabela deve ser tratado.
2. Atualizar via Microsoft Store (quando possível)
- Abra a Store com privilégios administrativos (ou use winget em scripts de pós‑imagem).
- Vá em Biblioteca → Atualizar tudo.
- Caso o aplicativo não apareça para atualização, siga para o método offline abaixo.
3. Instalação offline (download de bundles Appx/AppxBundle)
Em redes isoladas, baixe previamente os bundles em um ponto com acesso à internet, valide a assinatura digital (Get‑AuthenticodeSignature) e distribua via pendrive, SCCM ou Intune. Exemplo:
powershell
Add‑AppxProvisionedPackage ‑Online `
‑PackagePath "\\share\Paint3D_2024.2410.13017.0.appxbundle" `
‑DependencyPackagePath "\\share\VCLibs14014.0.33519.0_x64.appx",`
"\\share\UI.Xaml.2.7.0_x64.appx" `
‑LicensePath "\\share\Paint3D.lic"
4. Remoção completa (incluindo resquícios)
- Execute o
Remove‑AppxPackageconforme mostrado na tabela. - Reinicie.
- Abra um prompt elevado e liste possíveis sobras:
cmd
dir "C:\Program Files\WindowsApps\Paint3D" /a /s
Se encontrar pastas, tome posse e elimine‑as:
cmd
takeown /F "C:\Program Files\WindowsApps\Microsoft.MSPaint_6.1907*" /A /R
icacls "C:\Program Files\WindowsApps\Microsoft.MSPaint_6.1907*" /grant Administrators:F /T
rmdir "C:\Program Files\WindowsApps\Microsoft.MSPaint_6.1907*" /S /Q
5. Limpeza de componentes do sistema
A rotina abaixo remove payloads obsoletos que ocupam espaço em disco:
powershell
dism /Online /Cleanup-Image /StartComponentCleanup /ResetBase
6. Executar nova varredura de vulnerabilidade
Somente após reinicializar cada máquina e garantir que as pastas órfãs sumiram, inicie um novo scan. A maioria dos motores atualiza o inventário automaticamente, mas você pode forçar a reinicialização do serviço (por exemplo, NessusAgent service restart) para agilizar.
Por que os scanners insistem em sinalizar o problema?
Ferramentas de gestão de vulnerabilidades se apoiam em inventário estático — elas não executam o aplicativo nem observam arquivos em tempo real. Logo:
- Entrada residual no registro: se o GUID do pacote persiste, a varredura interpreta como “instalado”.
- Pasta sem ACL padrão: pastas em
WindowsAppspodem falhar na exclusão porque pertencem aTrustedInstaller. - Imagem corporativa desatualizada: novas estações podem nascer vulneráveis se o gold image contém versões antigas.
Remover totalmente o diretório ou atualizar o registro elimina o false‑positive.
Automatização via Intune, ConfigMgr e GPO
Distribuindo o pacote de atualização
- No Intune, crie um Line‑of‑business app com o bundle .appxbundle e declare as dependências.
- Defina condição de detecção:
Paint3D.exe version >= 6.2408.2027.0. - Para ConfigMgr, empacote como “Aplicativo” com script PowerShell de instalação e desinstalação.
Script unificado de remoção
Recomenda‑se um módulo dedicado:
powershell
function Remove‑Legacy3DApps {
[CmdletBinding()]
param()
$targets = "Microsoft.MSPaint","Print3D","3DBuilder"
foreach ($t in $targets) {
Get‑AppxPackage $t -AllUsers |
Remove‑AppxPackage -AllUsers -ErrorAction SilentlyContinue
}
}
Remove‑Legacy3DApps
Implante o módulo como Proactive remediation no Intune ou scheduled task em GPO.
Boas práticas permanentes
- Mantenha a Microsoft Store habilitada — bloquear completamente a Store impede correções automáticas.
- Repositório interno de pacotes — quando a internet é restrita, hospede bundles assinados em nuvem privada ou SMB.
- Monitoramento de CVEs — adicione “Paint 3D”, “Print 3D”, “3D Builder” como palavras‑chave em feeds RSS de segurança da Microsoft.
- Rotinas de manutenção — execute
dism /StartComponentCleanupmensalmente para reduzir bloatware. - Auditoria pós‑imagem — valide cada build da estação antes de liberá‑la em produção.
Perguntas frequentes (FAQ)
Posso simplesmente bloquear a execução de Paint 3D via AppLocker?
Bloquear executável impede o uso, mas não remove o pacote nem resolve o alerta de vulnerabilidade. Atualize ou desinstale.
Usar winget uninstall --purge resolve as pastas órfãs?
O parâmetro --purge tenta remover dados do usuário, mas não força a eliminação de pastas protegidas por TrustedInstaller. Prefira os comandos com takeown e icacls.
Há impacto em outros recursos do Windows ao remover Print 3D?
Não. O subsistema 3D do Windows (DirectX 12, Mixed Reality) permanece intacto. Apenas o frontend UWP é removido.
Qual rotina de testes devo fazer após aplicar o bundle novo do Paint 3D?
Abra o app, importe um modelo GLB de amostra e aplique texturas; salve o projeto. Se não ocorrer falha e o scanner reportar versão atual, a atualização é considerada válida.
Conclusão
Versões antigas de Paint 3D, Print 3D e 3D Builder permanecem como pontos de exposição em muitas organizações porque sua remoção ou atualização nem sempre é trivial. Com os procedimentos detalhados acima — atualização offline segura, desinstalação completa, limpeza de pastas órfãs e automação via ferramentas de gestão — é possível eliminar definitivamente os alertas de RCE nesses componentes, reforçando a postura de segurança do parque Windows.
Ao aplicar as medidas corretivas e incorporar as melhores práticas listadas, suas varreduras Nessus/Qualys/Rapid7 passarão a categorizar os hosts como conformes. Mantenha‑se vigilante aos boletins de segurança da Microsoft para agir rapidamente sempre que novos CVEs forem publicados.