Secondo i ricercatori di Windows Internals tra le vulnerabilità risolte con gli aggiornamenti rilasciati martedì scorso da parte di Microsoft ve ne sarebbe una particolarmente grave e semplice da sfruttare.
Si tratta di quella contraddistinta dall’identificativo CVE-2020-1048 e indicata dai tecnici dell’azienda di Redmond soltanto come “importante”.
I ricercatori Yarden Shafir e Alex Ionescu spiegano che sfruttando la vulnerabilità in questione un aggressore può facilmente eseguire codice dannoso sul sistema preso di mira sfruttando una lacuna nel meccanismo che gestisce lo spooler della stampante.
Lo spooler della stampante è uno dei componenti di Windows più vecchi che è rimasto sostanzialmente invariato fin dai tempi di Windows NT 4 e che purtroppo non è stato oggetto di attente verifiche dal punto di vista della sicurezza.
I due ricercatori citano anche una e-zine ovvero una rivista elettronica del 2009 che per prima diffuse la notizia di una lacuna di sicurezza individuata nello spooler della stampante. Quelle informazioni furono usate dagli sviluppatori del celeberrimo malware Stuxnet che da metà 2010 fu attivamente utilizzato per sferrare attacchi mirati e svolgere attività di spionaggio industriale (questo l’articolo in cui parlammo per la prima volta di Stuxnet).
Ecco, Shafir e Ionescu sostengono che la nuova vulnerabilità sanata in Windows è al livello di quella usata anni fa per causare danni presso aziende e impianti industriali di primo piano.
I ricercatori spiegano per filo e per segno ciò che avviene quando si invia un documento alla stampante e il flusso delle comunicazioni tra i vari componenti di Windows.
L’aspetto più importante, tuttavia, è che lo spooler della stampante usa i privilegi SYSTEM
sulla macchina, quindi quelli più ampi in assoluto. Con un semplice comando PowerShell (Add-PrinterPort -Name c:\windows\system32\ualapi.dll
) è possibile assumere il completo controllo del sistema acquisendo i diritti più elevati. Basterà inviare alla porta virtuale appena creata un file malevolo per eseguire codice arbitrario.
“Questo bug è probabilmente uno dei nostri preferiti nell’intera storia di Windows, o almeno uno dei nostri Top 5“, scrivono gli esperti. “Ciò perché è semplice da sfruttare ed esiste da sempre. Il componente fallato è stato rinforzato dopo Stuxnet ma non è ancora sufficiente“.
Shafir e Ionescu fanno presente che il bug in questione è davvero semplicissimo da sfruttare e può avere conseguenze devastanti se sfruttato dai criminali informatici, specie se combinato con altre vulnerabilità. Il consiglio è quindi quello di aggiornare il sistema quanto prima installando almeno gli aggiornamenti indicati in questa pagina per la specifica versione di Windows installata.