Gli aggiornamenti di sicurezza che Microsoft ha rilasciato nel corso delle ultime settimane non permettono di risolvere i problemi di sicurezza scoperti nello spooler della stampante e complessivamente noti con l’appellativo di PrintNightmare.
Sfruttando le di sicurezza un aggressore può dapprima acquisire i privilegi più elevati in ambito locale (attacco LPE, local privilege escalation) quindi muoversi lateralmente sui domini Windows lanciando un’aggressione RCE (remote code execution) per eseguire codice arbitrario con i diritti SYSTEM.
Nel corso degli anni sono stati via via scoperte e risolte diverse vulnerabilità nello spooler della stampante: esso dipende infatti da un servizio di sistema che è sempre in ascolto e che effettua una serie di attività usando ampi privilegi. Così ricercatori e criminali informatici hanno concentrato la loro attenzione proprio su questo componente software per eseguire codice malevolo all’interno di qualunque rete, con la possibilità di spiare e causare danni soprattutto all’interno delle infrastrutture aziendali.
Benjamin Delpy, autore di Mimikatz, popolare tool gratuito che consente di recuperare le password conservate sui sistemi Windows, ha dimostrato che le patch per PrintNightmare rilasciate da Microsoft a inizio agosto non risolvono il problema.
Tant’è che Microsoft stessa è stata nuovamente costretta a consigliare la disattivazione del servizio collegato con lo spooler di stampa.
La disattivazione dello spooler di stampa comporta ovviamente l’impossibilità di stampare dal sistema interessato. Per procedere con la disattivazione basta aprire una finestra PowerShell con i diritti di amministratore quindi digitare quanto segue:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Se si avesse bisogno di stampare è possibile riattivare lo spooler temporaneamente:
Per ripristinare l’avvio automatico dello spooler della stampante dopo l’installazione delle patch Microsoft, quando esse verranno rilasciate, si dovrà digitare anche:
Gli sviluppatori di ransomware stanno integrando il codice exploit per far leva su PrintNightmare all’interno dei loro componenti malevoli.
La cosa è stata confermata anche da Crowdstrike che ha scoperto nuovi ransomware che utilizzano le vulnerabilità dello spooler per diffondersi all’interno dei domini Windows e crittografare i dati aziendali per poi chiedere un salatissimo riscatto in denaro (crittovalute).
Per difendersi dagli attacchi è consigliabile disattivare temporaneamente lo spooler su tutti i sistemi maggiormente esposti e in azienda controllare il livello di sicurezza garantito dalla soluzione per la protezione degli endpoint tenendo presente che un ransomware si fa strada nell’infrastruttura locale a seguito di errori umani (apertura di allegati dannosi, download di file malevoli,…) e problematiche di sicurezza (ad esempio assenza di patch per la correzione di vulnerabilità che espongono ad attacchi drive-by download; mancata segmentazione della rete). Ne parliamo nell’articolo sull’origine degli attacchi informatici.