Nei giorni scorsi Microsoft aveva rilasciato una patch out-of-band destinata a tutte le versioni di Windows, anche quelle non più supportate (come Windows 7 e Windows Server 2008), al fine di risolvere una vulnerabilità sfruttabile in modalità remota rinvenuta nello spooler della stampante.
Martedì, con il patch day di luglio, l’azienda di Redmond ha rilasciato un nuovo set di correzioni integrative.
Battezzato PrintNightmare il problema di sicurezza permette ai criminali informatici di acquisire privilegi SYSTEM su qualunque macchina vulnerabile, anche a distanza e senza alcun intervento da parte dell’utente.
Sono passate soltanto poche ore dalla distribuzione dei più recenti aggiornamenti per Windows che Microsoft ha dovuto confermare la presenza di una nuova vulnerabilità nello spooler della stampante di Windows.
Il bug scoperto da Jacob Baines (Dragos) non è correlato con PrintNightmare ed è piuttosto una “debolezza” nuova non ancora venuta a galla in passato.
Microsoft ha confermato il problema (al quale è stato assegnato nel frattempo l’identificativo CVE-2021-34481) chiarendo però che a differenza di PrintNightmare questa volta l’acquisizione di privilegi più elevati può avvenire solo in ambito locale.
Non è comunque escluso che i criminali informatici possano abusare del problema inducendo le vittime ad aprire file malevoli sui loro sistemi.
Come indicato nel bollettino di fresca pubblicazione anche in questo caso non è però richiesta alcuna interazione da parte dell’utente per sfruttare il problema in sé.
Fintanto che Microsoft non renderà disponibile una patch ufficiale, l’azienda stessa consiglia di disattivare temporaneamente lo spooler della stampante soprattutto su quei sistemi che – considerata la loro esposizione – potrebbero essere in qualche modo oggetto di aggressione.
Va tenuto presente che la disattivazione dello spooler della stampante comporterà l’impossibilità di inviare documenti in stampa verso dispositivi locali e remoti.
Per disattivare lo spooler della stampante basta aprire una finestra PowerShell con i diritti di amministratore e digitare quanto segue:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled