“Un giorno dopo aver rilasciato l’aggiornamento programmato per il Patch Tuesday di agosto, Microsoft ha emesso un avviso su un’altra vulnerabilità senza patch, di escalation dei privilegi/esecuzione di codice remoto (RCE) nello spooler di stampa di Windows.
Il bug zero-day, tracciato come CVE-2021-36958, ha una valutazione della scala di gravità della vulnerabilità CVSS di 7,3, il che significa che è classificato come “importante”. Microsoft ha affermato che consente un vettore di attacco locale che richiede l’interazione dell’utente, ma che la complessità dell’attacco è bassa, con pochi privilegi richiesti.
“Esiste una vulnerabilità legata all’esecuzione di codice in remoto quando il servizio Windows Print Spooler esegue in modo improprio operazioni sui file con privilegi”, ha spiegato il gigante informatico nel suo advisory di mercoledì .
“Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario con privilegi di SISTEMA. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.”
Mentre Microsoft richiede che le stampanti installabili tramite Point siano firmate da una firma di rilascio WHQL o da un certificato attendibile, i driver della stampante di Windows possono specificare file specifici della coda associati all’uso del dispositivo, il che lascia una scappatoia per gli attori malintenzionati.
“Ad esempio, una stampante condivisa può specificare una direttiva CopyFiles per file arbitrari”, secondo l’advisory CERT/CC . “Questi file, che possono essere copiati insieme ai file del driver di stampa con firma digitale, non sono coperti da alcun requisito di firma. Inoltre, questi file possono essere utilizzati per sovrascrivere qualsiasi file con firma verificata che è stato inserito in un sistema durante l’installazione del driver della stampante. Ciò può consentire l’escalation dei privilegi locali a SYSTEM su un sistema vulnerabile.”
Finora, Microsoft non ha visto alcun attacco in natura utilizzando il bug, ma ha notato che lo sfruttamento è “più probabile”. Con un exploit funzionante in circolazione, questa sembra una valutazione equa.
Come proteggere i sistemi dagli attacchi dello spooler di stampa
Come accennato, non esiste ancora una patch per il bug, ma gli utenti possono proteggersi semplicemente interrompendo e disabilitando il servizio Print Spooler:
Fonte: Microsoft.
Il CERT/CC ha anche affermato che poiché gli exploit pubblici per gli attacchi dello spooler di stampa utilizzano il servizio di condivisione file SMB per la connettività remota a una stampante condivisa dannosa, il blocco delle connessioni in uscita alle risorse SMB vanificherebbe alcuni attacchi bloccando le stampanti SMB dannose ospitate al di fuori del Rete.
“Tuttavia, Microsoft indica che le stampanti possono essere condivise tramite il protocollo Web Point-and-Print, che può consentire l’installazione di driver di stampante arbitrari senza fare affidamento sul traffico SMB“, secondo CERT/CC. “Inoltre, un utente malintenzionato locale sulla tua rete sarebbe in grado di condividere una stampante tramite SMB, che non sarebbe influenzato da alcuna regola del traffico SMB in uscita“.
Nel suo avviso di aggiornamento per CVE-2021-34481, Microsoft ha anche spiegato come modificare la funzionalità Point and Print predefinita, che impedisce agli utenti non amministratori di installare o aggiornare i driver della stampante in remoto e che potrebbe aiutare a mitigare l’ultimo zero-day.
https://threatpost.com/microsoft-unpatched-printnightmare-zero-day/168613/
