La sicurezza dello spooler di stampa di Windows 10 di Microsoft si sta trasformando in un grattacapo per l'azienda e i suoi clienti.
I bug di marca come Heartbleed del 2014 sono un po' superati, ma il PrintNightmare di Windows 10 i bug sembrano essere una scelta azzeccata: Microsoft ha rilasciato correzioni a luglio e agosto e, subito dopo la modifica del Patch Tuesday del 10 agosto al servizio Print Spooler, è stato rivelato un altro bug dello spooler di stampa.
Questo riguarda una vulnerabilità legata all'esecuzione di codice in modalità remota di Windows Print Spooler, etichettata come CVE-2021-36958.
“Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando il servizio Windows Print Spooler esegue in modo improprio operazioni sui file con privilegi. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario con privilegi di SISTEMA. Un utente malintenzionato potrebbe quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con diritti utente completi. La soluzione alternativa a questa vulnerabilità consiste nell'arrestare e disabilitare il servizio Print Spooler”, afferma l'advisory di Microsoft.
Il bug precedentemente divulgato CVE-2021-34481 nel servizio Print Spooler di Windows consente un utente malintenzionato locale per aumentare i privilegi al livello di “sistema”, consentendo all'aggressore di installare malware e creare nuovi account su macchine Windows 10.
Per mitigare potenziali minacce, questa settimana Microsoft ha rilasciato un aggiornamento che modifica il comportamento predefinito per le funzionalità Point and Print in Windows, impedendo a un utente medio di aggiungere o aggiornare le stampanti. Dopo l'installazione, Windows 10 richiede i privilegi di amministratore per installare queste modifiche ai driver.
Anche se causerà lavoro extra per gli amministratori, Microsoft afferma che “fortemente” crede che il rischio per la sicurezza giustifichi questo cambiamento.
< p>Gli amministratori hanno un'opzione per disabilitare la mitigazione di Microsoft, ma hanno sottolineato che “esposerà il tuo ambiente alle vulnerabilità note pubblicamente nel servizio Windows Print Spooler”.
I problemi che interessano il servizio Print Spooler sono aumentati durante l'estate a causa dei ricercatori che hanno trovato diverse strade per attaccare l'insieme di difetti.
CVE-2021-36958 e un altro bug di PrintNightmare, tracciato come CVE-2021-34483, sono stati segnalati a Microsoft da un ricercatore di sicurezza di Accenture, Victor Mata, che afferma di aver segnalato i problemi a dicembre. Altri bug relativi allo spooler di stampa includono CVE-2021-1675 e CVE-2021-34527.
Will Dormann, un analista di vulnerabilità presso il CERT/CC, ha sottolineato le correzioni apparentemente incomplete negli aggiornamenti del Patch Tuesday di agosto 2021.
Come osserva, il ricercatore di sicurezza Benjamin Delpy ha rilasciato una prova di concetto per uno dei bug di PrintNightmare a luglio. Dormann ha informato Microsoft che il PoC di Delpy funzionava ancora l'11 agosto, un giorno dopo il Patch Tuesday di agosto. Secondo Dormann, il proof of concept di Delpy è ciò che ha spinto l'ultima divulgazione di Microsoft su CVE-2021-36958.
“Microsoft ha corretto *qualcosa* relativo al tuo attacco nel loro aggiornamento per CVE-2021-36936, che non descrive nulla su ciò che risolve. Ad esempio, il mio PoC per VU#131152 ora richiede credenziali di amministratore. Tuttavia, il PoC di @gentilkiwi continua a funziona bene. È ora che la SM emetta un nuovo CVE?”, ha scritto Dormann.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Enterprise Software Security Gestione dati TV CXO Data Center 