Exploit PrintNightmare: le patch di Microsoft non risolvono il problema

È in circolazione il codice dell’exploit PrintNightmare, che sfrutta la vulnerabilità CVE-2021-1675 dello spooler di stampa di Windows e permette esecuzione da remoto. Le patch rilasciate da Microsoft però si possono aggirare.

Il 29 giugno, il codice di un exploit che sfrutta la vulnerabilità CVE-2021-1675 dello spooler di stampa di Windows (spoolsv.exe) è stato prima pubblicato e successivamente ritirato da GitHub dai ricercatori Zhiniang Peng & Xuefeng Li, ma non prima che venisse clonato da un altro utente.

I ricercatori di sicurezza, che prevedono di fare una presentazione dell’exploit alla prossima edizione della convention BlackHat USA, hanno pubblicato in maniera accidentale un codice Proof of Concept (PoC) che dimostrava come poter sfruttare la vulnerabilità.

ADV
HP Wolf Security

Il perimetro aziendale oggi passa dalla casa dei dipendenti

Metà dei dipendenti usa il PC anche per scopi personali e il 30% lascia che venga utilizzato da altri famigliari. La tua cybersecurity è pronta per le sfide del lavoro remoto? LEGGI TUTTO >>

L’exploit consente infatti di guadagnare i privilegi di SYSTEM su un sistema remoto, e visto che lo spooler di stampa è installato e attivo di default sui server Windows, domain controller incluso, questo è un problema molto serio.

A inizio giugno Microsoft aveva incluso negli update di sicurezza una patch per la vulnerabilità, al momento considerata a basso rischio perché consentiva solo attacchi locali (Local Privilege Escalation) e che richiedevano intervento umano. Successivamente Microsoft ha riclassificato CVE-2021-1675 come una più grave vulnerabilità che consente Remote Code Execution.

Purtroppo è stato dimostrato che l’exploit in circolazione è efficace anche sui sistemi patchati con l’update di sicurezza di giugno, almeno nel caso di Windows Server 2019 senza TPM.

(qui una versione del video in alta risoluzione)

Ed è per questo che sono state rilasciate da Microsoft patch per Windows Server 2019, Windows Server 2012 R2, Windows Server 2008, Windows 8.1, Windows RT 8.1 e una varietà di versioni supportate di Windows 10. Sono state rilasciate patch persino per Windows 7 il cui supporto ufficiale è giunto al termine lo scorso anno. Tuttavia, Microsoft non ha ancora rilasciato patch per Windows Server 2012, Windows Server 2016 e Windows 10 versione 1607 e afferma che “gli aggiornamenti di sicurezza per queste versioni di Windows verranno rilasciati presto”.

Purtroppo, anche questi aggiornamenti non risolvono del tutto il problema, perché è possibile aggirarle modificando l’exploit.

Al momento, la raccomandazione è quella di disabilitare spoolsv.exe dai sistemi server, e tenere d’occhio gli advisory e gli aggiornamenti di sicurezza di Microsoft dove si legge “Si consiglia di installare immediatamente questi aggiornamenti. […] Gli aggiornamenti di sicurezza rilasciati a partire dal 6 luglio 2021 contengono protezioni per CVE-2021-1675 e l’exploit di esecuzione di codice remoto aggiuntivo nel servizio Windows Print Spooler noto come ‘PrintNightmare’, documentato in CVE-2021-34527.”

Qualora non fosse possibile disabilitare lo spooler di stampa, Sophos raccomanda di limitarne l’accesso alle sole postazioni indispensabili, agendo a livello di rete, e ha pubblicato sul suo blog Naked Security le istruzioni per disabilitare lo spooler di stampa in modo permanente, anche dopo un riavvio del server.

(Articolo aggiornato l’8 luglio 2021 per aggiungere informazioni sulle patch rilasciate da Microsoft)

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!

Andrea Grassi
Editor di Computerworld e CIO Italia Giornalista professionista, ma con una formazione tecnico-scientifica, dal 1995 ha lavorato per alcune delle più importanti testate di informatica in Italia. È stato redattore di .Net Internet Magazine, il Mio Computer e MacFormat, responsabile di redazione di Computer Magazine, PC Magazine, Hacker Jorunal, Total Computer e del portale CHIP Download. Come publisher ha curato l’edizione italiana di CHIP, PC World, Macworld e ha ideato e lanciato le riviste mensili iPad Magazine e Android Magazine. È autore dei libri Windows XP per tutti e Mac OS Tiger pubblicati da McGraw-Hill e ha tradotto svariati altri manuali di programmazione, cybersecurity e per software professionali. Dal 2015 cura per Fiera Milano Media le testate Computerworld e CIO Italia dell’editore americano IDG. Ha seguito in particolar modo l’evoluzione di Internet, dagli albori della sua diffusione di massa, analizzandone gli aspetti tecnici, economici e culturali, i software di produttività, le piattaforme web e social, la sicurezza informatica e il cybercrime. Più di recente, segue le tematiche relative alla trasformazione digitale del business e sta osservando come l’intelligenza artificiale stia spingendo ogni giorno più in là il confine della tecnologia. Puoi contattarlo via email scrivendo ad andrea.grassi@cwi.it e seguirlo su Twitter (@andreagrassi) o Linkedin.