Le patch per PrintNightmare non proteggono del tutto

Con una patch Microsoft mette fine all’incubo di PrintNightmare, o almeno ci prova. Le due vulnerabilità del servizio Print Spooler di Windows, una più grave e l’altra meno pericolosa, sono state corrette con il rilascio di un aggiornamento di sicurezza “di emergenza”, pubblicato al di fuori del calendario ordinario dei Patch Tuesday. Si tratta di due bug venuti alla luce in momenti diversi: CVE-2021-1675, di basso rischio, presta il fianco ad attacchi basati su escalation dei privilegi condotti in locale e con intervento umano; CVE-2021-34527, di elevata gravità (9 su 10), permette di scalare i privilegi fino a livello System per eseguire varie azioni da remoto. Un proof-of-concept di una società di cybersicurezza, Sangfor Technologies, ha dimostrato la possibilità di sferrare attacchi con esecuzione di codice da remoto sfruttando questo bug.

In momenti diversi Microsoft ha quindi rilasciato le patch che risolvono questi due problemi su tutte le versioni di Windows affette dalle vulnerabilità (qui la lista completa). “Vi raccomandiamo di aggiornare i vostri disponitivi appena possibile”, scrive l’azienda di Redmond. L’aggiornamento è disponibile tramite Windows Update, Microsoft Update Catalog e Windows Server Update Services (WSUS).

Fin qui tutto bene, se non fosse che alcuni esperti di cybersicurezza hanno scoperto (e pubblicizzato su Twitter) che era ancora possibile eseguire attacchi di escalation di privilegi in locale anche sui sistemi Windows aggiornati. I proof-of-concept già pubblicati in merito funzionavano ancora. E non solo: anche i tentativi di attacco con remote code execution sono andati a buon fine. Benjamin Delpy, il programmatore che ha sviluppato Mimikatz (un software per l’estrazione di credenziali), ha spiegato a The Register che la patch non è del tutto efficace a causa del modo in cui verifica le librerie remote. La patch può essere raggirata usando il formato UNC (Universal Naming Convention).

In attesa di eventuali repliche da parte di Microsoft, al momento potrebbe essere una saggia idea quella di disattivare completamente il servizio di spooling di Windows (o di attivarlo solo all’occorrenza quando è necessario stampare) oppure quella di disabilitare la stampa da remoto in entrata attraverso l'editor dei Criteri di gruppo.