Le patch per PrintNightmare non proteggono del tutto
Microsoft ha rilasciato i correttivi per le due vulnerabilità del sistema di spooling della stampa di Windows, ma esistono modi per raggirare le patch.
Pubblicato il 09 luglio 2021 da Redazione

Con una patch Microsoft mette fine all’incubo di PrintNightmare, o almeno ci prova. Le due vulnerabilità del servizio Print Spooler di Windows, una più grave e l’altra meno pericolosa, sono state corrette con il rilascio di un aggiornamento di sicurezza “di emergenza”, pubblicato al di fuori del calendario ordinario dei Patch Tuesday. Si tratta di due bug venuti alla luce in momenti diversi: CVE-2021-1675, di basso rischio, presta il fianco ad attacchi basati su escalation dei privilegi condotti in locale e con intervento umano; CVE-2021-34527, di elevata gravità (9 su 10), permette di scalare i privilegi fino a livello System per eseguire varie azioni da remoto. Un proof-of-concept di una società di cybersicurezza, Sangfor Technologies, ha dimostrato la possibilità di sferrare attacchi con esecuzione di codice da remoto sfruttando questo bug.
In momenti diversi Microsoft ha quindi rilasciato le patch che risolvono questi due problemi su tutte le versioni di Windows affette dalle vulnerabilità (qui la lista completa). “Vi raccomandiamo di aggiornare i vostri disponitivi appena possibile”, scrive l’azienda di Redmond. L’aggiornamento è disponibile tramite Windows Update, Microsoft Update Catalog e Windows Server Update Services (WSUS).
Fin qui tutto bene, se non fosse che alcuni esperti di cybersicurezza hanno scoperto (e pubblicizzato su Twitter) che era ancora possibile eseguire attacchi di escalation di privilegi in locale anche sui sistemi Windows aggiornati. I proof-of-concept già pubblicati in merito funzionavano ancora. E non solo: anche i tentativi di attacco con remote code execution sono andati a buon fine. Benjamin Delpy, il programmatore che ha sviluppato Mimikatz (un software per l’estrazione di credenziali), ha spiegato a The Register che la patch non è del tutto efficace a causa del modo in cui verifica le librerie remote. La patch può essere raggirata usando il formato UNC (Universal Naming Convention).
In attesa di eventuali repliche da parte di Microsoft, al momento potrebbe essere una saggia idea quella di disattivare completamente il servizio di spooling di Windows (o di attivarlo solo all’occorrenza quando è necessario stampare) oppure quella di disabilitare la stampa da remoto in entrata attraverso l'editor dei Criteri di gruppo.
MICROSOFT
- Microsoft promuove un’AI più semplice per gli sviluppatori
- L’antitrust Ue interroga i clienti Azure sulle richieste di Microsoft
- Intelligenza artificiale, un bene o un male per il mondo del lavoro?
- Microsoft e Google, prosegue la corsa all’AI nelle ricerche Web
- Con la spinta del cloud e di Office, Microsoft batte le attese
NEWS
- Intelligenza artificiale, un rischio pari alla bomba atomica?
- L’assistente virtuale di Juniper si apre a ChatGPT e ai dati di Zoom
- L’Ai generativa si radica negli sviluppi di Red Hat
- Aziende avanti sul multicloud, ma sicurezza e visibilità sono critiche
- DevSecOps, un corso di formazione per diventare esperti