Sono trapelati online i dettagli circa una nuova vulnerabilità di Windows che può essere sfruttata per eseguire codice arbitrario su qualunque macchina disponendo soltanto delle autorizzazioni di base. In altre parole basta autenticarsi sul sistema vulnerabile per avere la possibilità di eseguire codice, anche in modalità remota.
I ricercatori hanno battezzato PrintNightmare la modalità d’attacco appena venuta a galla perché essa ha a che fare con una lacuna di sicurezza presente nello spooler della stampante (Windows Print Spooler).
Dopo le prime verifiche ci si è accorti che il problema in questione permette di acquisire i privilegi SYSTEM anche sui sistemi operativi più recenti, Windows Server 2019 compreso.
PrintNightmare non sfrutta la stessa lacuna di sicurezza risolta da Microsoft lo scorso 8 giugno (CVE-2021-1675) nell’ultimo “patch day” ma prende di mira una vulnerabilità nuova venuta a galla nei giorni scorsi.
Benjamin Delpy, autore del noto software Mimikatz, ha dimostrato con un video pubblicato su Twitter come avviene l’attacco su un sistema Windows aggiornato con tutte le patch rilasciate da Microsoft.
I criminali informatici, in particolare gli sviluppatori di ransomware, hanno tra le mani una ghiotta occasione per far breccia all’interno delle reti aziendali: ottenere credenziali di accesso per gli utenti del dominio con privilegi limitati è infatti un compito piuttosto semplice.
Microsoft ha nel frattempo confermato l’esistenza della problematica alla quale viene adesso fatto riferimento con l’identificativo CVE-2021-34527.
Inoltre sono stati rilevati i primi attacchi che fanno leva sul codice exploit, già pubblicato, che consente di acquisire i diritti SYSTEM per installare programmi, visualizzare, modificare o eliminare dati sui sistemi altri e creare nuovi account con i privilegi più ampi possibile.
In questo bollettino Microsoft conferma che la falla PrintNightmare è già attivamente sfruttata.
La buona notizia è che dal 6 luglio sono disponibili le patch per risolvere il problema PrintNightmare non soltanto Windows 10 e Windows Server ma anche in Windows 7 e Windows 8.1.
Come proteggersi dalla vulnerabilità
Fino al rilascio delle patch Microsoft, i ricercatori hanno consigliato di disattivare temporaneamente il servizio che gestisce lo spooler della stampante in particolare sui controller di dominio.
Si può procedere con la disattivazione dello spooler della stampante digitando Windows+R
quindi services.msc
e infine cliccare due volte su Spooler di stampa premendo Interrompi quindi selezionando Disabilitato da Tipo di avvio.
In alternativa si può procedere da una finestra PowerShell aperta con i diritti di amministratore digitando quanto segue:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
L’operazione dovrebbe essere eseguita su quei sistemi che non si usano per gestire l’invio di documenti alla stampante. Se lo spooler non potesse essere disabilitato si può aprire l’Editor dei criteri di gruppo (gpedit.msc
) quindi scegliere Configurazione computer, Modelli amministrativi, Stampanti e infine disattivare la regola Consenti allo spooler di stampa di accettare connessioni client.
Anche il Cybersecurity and Infrastructure Security Agency (CISA) statunitense aveva suggerito di disattivare temporaneamente lo spooler di stampa fintanto che non sarà disponibile una patch ufficiale. Quando non si potesse procedere in tal senso è bene accertarsi che i server di stampa siano adeguatamente isolati dall’esterno della rete aziendale.
0patch ha rilasciato un microaggiornamento non ufficiale che permette di scongiurare qualunque rischio di attacco e che agisce direttamente in memoria senza la necessità di riavviare il sistema operativo: se ne parla in questa pagina.
Dal 6 luglio sono tuttavia disponibili gli aggiornamenti ufficiali Microsoft: vista la gravità della problematica si tratta di patch out-of-band ovvero rilasciate al di fuori dell’abituale ciclo di distribuzione degli aggiornamenti:
- Windows 10, versione 21H1 (KB5004945)
- Windows 10, versione 20H1 (KB5004945)
- Windows 10, versione 2004 (KB5004945)
- Windows 10, versione 1909 (KB5004946)
- Windows 10, versione 1809 e Windows Server 2019 (KB5004947)
- Windows 10, versione 1803 (KB5004949)
- Windows 10, versione 1507 (KB5004950)
- Windows 8.1 e Windows Server 2012 (Aggiornamento mensile KB5004954; solo aggiornamento di sicurezza: KB5004958)
- Windows 7 SP1 e Windows Server 2008 R2 SP1 (Aggiornamento mensile KB5004953; solo aggiornamento di sicurezza: KB5004951)
- Windows Server 2008 SP2 (Aggiornamento mensile KB5004955; solo aggiornamento di sicurezza: KB5004959)
Gli aggiornamenti destinati ad alcune versioni di Windows saranno rilasciati a stretto giro, a detta di Microsoft.
È importante evidenziare, come scoperto da Matthew Hickey, che le patch Microsoft appena rilasciate risolvono il problema dell’attacco allo spooler della stampante sferrato da remoto (RCE, Remote Code Execution) ma non la falla LPE (Local Privilege Escalation): anche dopo l’installazione della patch, infatti, un utente può essere in grado di acquisire privilegi più elevati in ambito locale.
Ciò significa che la risoluzione del problema di sicurezza è ancora incompleta e che PrintNightmare può comunque essere usato per acquisire i privilegi SYSTEM su una macchina.