di Martin Brinkmann il 03 luglio 2021 in Windows – 3 commenti
Microsoft ha recentemente rivelato una nuova vulnerabilità di esecuzione di codice remoto in Windows che utilizza lo spooler di stampa di Windows. La vulnerabilità viene sfruttata attivamente e Microsoft ha pubblicato due soluzioni alternative per proteggere i sistemi dagli attacchi.
Le informazioni fornite sono insufficienti, poiché Microsoft non rivela nemmeno le versioni di Windows interessate dal problema di sicurezza. A quanto pare, sembra interessare la maggior parte dei controller di dominio e non la maggior parte dei computer di casa, poiché richiede utenti remoti autenticati.
0Patch, che ha analizzato la patch, suggerisce che il problema riguarda principalmente le versioni di Windows Server, ma che anche i sistemi Windows 10 e i server non DC potrebbero essere interessati se sono state apportate modifiche alla configurazione predefinita:
< p>UAC (Controllo dell'account utente) è completamente disabilitato
PointAndPrint NoWarningNoElevationOnInstall è abilitato
Il CVE offre la seguente descrizione:
Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando il servizio Spooler di stampa di Windows esegue in modo improprio operazioni sui file con privilegi. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice arbitrario con privilegi SYSTEM. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.
Un attacco deve coinvolgere un utente autenticato che chiama RpcAddPrinterDriverEx().
Assicurati di aver applicato gli aggiornamenti di sicurezza rilasciati l'8 giugno 2021 e vedere le sezioni Domande frequenti e soluzioni alternative in questo CVE per informazioni su come proteggere il sistema da questa vulnerabilità.
Microsoft fornisce due suggerimenti: disabilitare il servizio Spooler di stampa o disabilitare la stampa remota in entrata utilizzando i Criteri di gruppo. La prima soluzione disabilita la stampa, locale e remota, sul dispositivo. Può essere una soluzione su sistemi su cui non è richiesta la funzionalità di stampa, ma non è realmente un'opzione se la stampa viene eseguita su un dispositivo. Puoi attivare lo spooler di stampa su richiesta, ma ciò può diventare rapidamente una seccatura.
La seconda soluzione alternativa richiede l'accesso ai Criteri di gruppo, che è disponibile solo nelle versioni Pro ed Enterprise di Windows.
Ecco entrambe le soluzioni alternative:
Per disabilitare lo spooler di stampa, procedi come segue:
- Apri un prompt di PowerShell con privilegi elevati, ad es. utilizzando Windows-X e selezionando Windows PowerShell (amministratore).
- Esegui Get-Service -Name Spooler.
- Esegui Stop-Service -Name Spooler -Force
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
Command (4) interrompe il servizio Print Spooler, comando (5) lo disabilita. Tieni presente che non potrai più stampare quando apporti le modifiche (a meno che non abiliti nuovamente il servizio Spooler di stampa.
Per disabilitare la stampa remota in entrata, procedi come segue:
- Apri Start.
- Digita gpedit.msc.
- Carica l'Editor criteri di gruppo.
- Vai a Configurazione computer/Modelli amministrativi/Stampanti.
- Fai doppio clic su Consenti allo spooler di stampa di accettare le connessioni client.
- Imposta il criterio su Disabilitato.
- Seleziona ok.
0Patch ha sviluppato e pubblicato una micropatch che risolve il problema di esecuzione del codice remoto dello spooler di stampa. La patch è stata creata solo per Windows Server al momento, in particolare Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 e Windows Server 2019.