Microsoft ha avvisato gli utenti di una vulnerabilità critica senza patch nel servizio Windows Print Manager. Stiamo parlando della vulnerabilità PrintNightmare, divenuta nota qualche giorno fa, quando i ricercatori hanno pubblicato per errore un exploit PoC per sfruttarla. Sebbene Microsoft non abbia apprezzato la gravità di questo difetto, consente l'esecuzione di codice remoto con privilegi di sistema, il che è un problema serio.
I ricercatori di Sangfor hanno pubblicato un exploit PoC, che sembra essere stato un errore o un malinteso tra loro e Microsoft. Sebbene l'exploit sia stato rimosso rapidamente, è chiaro che alcuni utenti di GitHub sono riusciti a scaricarlo. I ricercatori hanno pianificato di dettagliare le molteplici vulnerabilità nello spooler di stampa di Windows alla conferenza annuale sulla sicurezza di Black Hat alla fine di questo mese. Sembra che i ricercatori pensassero che Microsoft avesse corretto la vulnerabilità PrintNightmare con una patch recente, ma in realtà è stata risolta un'altra vulnerabilità, che interessava anche il sottosistema di stampa.
Microsoft ha impiegato diversi giorni prima che fosse annunciato ufficialmente che la vulnerabilità di PrintNightmare continua a rappresentare una minaccia e viene persino utilizzata dagli aggressori nella pratica. Poiché la vulnerabilità consente l'esecuzione di codice in remoto con diritti di amministratore, gli aggressori possono utilizzarla per eseguire varie attività, tra cui la distribuzione di software dannoso e il furto dei dati della vittima.
Microsoft ha confermato che la vulnerabilità interessa tutte le versioni di Windows, ma non è chiaro se la vulnerabilità possa essere utilizzata nelle versioni client del sistema operativo o interessa solo le versioni server del sistema operativo. Il servizio Print Manager è abilitato per impostazione predefinita su Windows, incluse le versioni client del sistema operativo, i controller di dominio e molte edizioni di Windows Server. Microsoft sta lavorando a una correzione e fino a quando non verrà rilasciata, si consiglia agli utenti di disabilitare lo spooler di stampa di Windows o disabilitare la possibilità di inviare documenti in remoto per la stampa utilizzando Criteri di gruppo.
2021-07-02 17:28:35
Autore: Vitalii Babkin