PrintNightmare, nuova vulnerabilità all’interno di Windows Print Spooler

Aggiornate immediatamente tutti i sistemi Windows per applicare la patch per le vulnerabilità CVE-2021-1675 e CVE-2021-34527 nel servizio Windows Print Spooler.

Alla fine di giugno scorso, i ricercatori di sicurezza stavano esaminando attivamente una vulnerabilità nel servizio Windows Print Spooler, che hanno soprannominato PrintNightmare. La patch, rilasciata in occasione del Patch Tuesday di giugno, avrebbe dovuto correggere la vulnerabilità, e l’ha fatto ma, come accade in genere, il problema ne coinvolgeva un’altra. La patch ha risolto la CVE-2021-1675 ma non la CVE-2021-34527. Su computer o server basati su Windows senza patch, i criminali informatici possono utilizzare le vulnerabilità per ottenere il controllo del dispositivo, dal momento che Windows Print Spooler è attivo di default su tutti i sistemi Windows.

Microsoft usa il nome PrintNightmare per la vulnerabilità CVE-2021-34527 ma non per CVE-2021-1675; tuttavia, molti altri associano questo nome a entrambe le vulnerabilità.

I nostri esperti hanno studiato entrambe le vulnerabilità in dettaglio e si sono assicurati che Kaspersky security solutions con la sua tecnologia di prevenzione degli exploit e la protezione basata sul comportamento, impedisca i tentativi di sfruttarle.

Perchè PrintNightmare è pericolosa

PrintNightmare è considerata una vulnerabilità estremamente pericolosa per due motivi principali. In primo luogo, essendo Windows Print Spooler  di default su tutti i sistemi Windows, compresi i controller di dominio e i computer con privilegi di amministratore di sistema, rende tutti questi computer vulnerabili.

In secondo luogo, un malinteso tra team di ricercatori (e, forse, un semplice errore) ha portato alla pubblicazione online di un exploit proof-of-concept per PrintNightmare. I ricercatori coinvolti erano abbastanza sicuri che la patch di giugno di Microsoft avesse già risolto il problema, quindi hanno condiviso il loro lavoro con la comunità di esperti. Tuttavia, l’exploit costituiva comunque un pericolo. Il PoC è stato rapidamente rimosso, ma non prima che in molti lo copiassero, motivo per cui gli esperti di Kaspersky prevedono un aumento dei tentativi di sfruttare PrintNightmare.

Le vulnerabilità e il loro uso

CVE-2021-1675 è una vulnerabilità di elevazione dei privilegi. Permette a un criminale informatico con privilegi di accesso minimi di creare e utilizzare un file DLL dannoso per eseguire un exploit e ottenere privilegi più elevati. Tuttavia, questo è possibile solo se il cybercriminale ha già accesso diretto al computer vulnerabile in questione. Microsoft considera questa vulnerabilità dal rischio relativamente basso.

La vulnerabilità CVE-2021-34527, invece, è significativamente più pericolosa: anche se simile, è una vulnerabilità RCE (Remote Code Execution), il che significa che permette l’esecuzione remota di DLL. Microsoft ha già visto exploit di questa vulnerabilità in rete, e Securelist fornisce una descrizione tecnica più dettagliata di entrambe le vulnerabilità e delle loro tecniche di sfruttamento.

Poiché i cybercriminali possono utilizzare PrintNightmare per accedere ai dati nelle infrastrutture aziendali, possono anche utilizzare l’exploit per attacchi ransomware.

Come proteggere la vostra infrastruttura da PrintNightmare

Il primo passo per proteggersi dagli attacchi di PrintNightmare è installare entrambe le patch, di giugno e luglio, da Microsoft. Quest’ultima pagina fornisce anche alcuni workaround di Microsoft nel caso in cui non si possa fare uso delle patch, e uno di questi non richiede nemmeno la disabilitazione di Windows Print Spooler.

Detto questo, suggeriamo caldamente di disabilitare Windows Print Spooler sui computer che non ne hanno bisogno. In particolare, è altamente improbabile che i controller di dominio abbiano bisogno della stampante.

Inoltre, tutti i server e i computer hanno bisogno di soluzioni affidabili per la sicurezza degli endpoint che impediscano i tentativi di sfruttamento delle vulnerabilità note e non ancora conosciute, tra cui PrintNightmare.

Consigli