Microsoft ha rilasciato aggiornamenti di sicurezza di emergenza per affrontare la vulnerabilità zero-day di PrintNightmare in Windows, che viene attivamente sfruttata nel mondo reale.
La vulnerabilità PrintNightmare è associata allo spooler di stampa di Windows e interessa tutte le versioni di Windows. Sfortunatamente, la patch non risolve completamente la vulnerabilità e gli aggressori possono ancora sfruttarla per ottenere i privilegi di SISTEMA.
Vulnerabilità legata all'esecuzione di codice in modalità remota CVE-2021-34527 consente agli aggressori di assumere il controllo dei server interessati. In caso di operazione riuscita, ricevono i privilegi di SISTEMA, il che significa che possono installare programmi, visualizzare, modificare ed eliminare dati e creare nuovi account con diritti completi.
Istruzioni dettagliate per l'installazione di aggiornamenti di sicurezza non ordinati per il sistema operativo sono disponibili nei documenti di supporto collegati di seguito:
Windows 10 versione 21H1 (KB5004945)
Windows 10 versione 20H1 (KB5004945)
Windows 10 versione 2004 (KB5004945)
Windows 10 versione 1909 (KB5004946)
Windows 10 versione 1809 e Windows Server 2019 (KB5004947)
Windows 10, versione 1803 (KB5004949) [non ancora disponibile]
Windows 10 versione 1507 (KB5004950)
Windows 8.1 e Windows Server 2012 (aggiornamento cumulativo mensile KB5004954/aggiornamento della protezione KB5004958)
Windows 7 SP1 e Windows Server 2008 R2 SP1 (aggiornamento cumulativo mensile KB5004953/aggiornamento della protezione KB5004951)
Windows Server 2008 SP2 (aggiornamento cumulativo mensile KB5004955/aggiornamento della protezione KB5004959)
Microsoft non ha ancora rilasciato aggiornamenti di sicurezza per Windows 10, versione 1607, Windows Server 2016 o Windows Server 2012, ma promette di farlo presto.
L'azienda informa:
Le note sulla versione per questi aggiornamenti potrebbero subire ritardi fino a un'ora dopo che gli aggiornamenti sono diventati disponibili per il download.
Gli aggiornamenti per le restanti versioni supportate di Windows verranno rilasciati nei prossimi giorni.
Le patch risolvono solo lo sfruttamento remoto:
La vulnerabilità PrintNightmare include un vettore di esecuzione di codice remoto (RCE) e di escalation dei privilegi locali (LPE), che può essere sfruttato negli attacchi per eseguire comandi con privilegi di SISTEMA su un sistema interessato.
Dopo che Microsoft ha rilasciato un aggiornamento di emergenza, il ricercatore di sicurezza Matthew Hickey ha esaminato la patch e ha confermato che risolve solo il componente RCE, non LPE.
Ciò significa che la patch è incompleta e che gli aggressori e il malware possono sfruttare la vulnerabilità per ottenere i privilegi di SISTEMA.
Sono inoltre disponibili misure per chiudere la vulnerabilità:
Microsoft incoraggia vivamente i clienti ad applicare immediatamente questi aggiornamenti di sicurezza fuori servizio per affrontare la vulnerabilità di PrintNightmare.
Gli utenti che non sono in grado di installare questi aggiornamenti il prima possibile possono rivedere le soluzioni alternative pubblicate nel Bollettino sulla sicurezza CVE-2021-34527 per proteggere i propri sistemi dagli attacchi che sfruttano PrintNightmare.
Le opzioni di mitigazione degli attacchi disponibili includono la disabilitazione del servizio Spooler di stampa, in questo caso la possibilità di stampare localmente o in remoto, e la disabilitazione della stampa remota in ingresso utilizzando Criteri di gruppo per rimuovere il vettore di attacco remoto bloccando le operazioni di stampa remota in ingresso.
Microsoft afferma che con la seconda opzione "il sistema non funzionerà più come server di stampa, ma continuerà a funzionare la stampa locale su un dispositivo collegato direttamente".
La scorsa settimana, la Cyber and Infrastructure Protection Agency (CISA) ha emesso un avviso di vulnerabilità PrintNightmare consigliando agli amministratori di disabilitare il servizio Print Spooler sui server che non vengono utilizzati per la stampa.
2021-07-08 15:17:07
Autore: Vitalii Babkin