WINDOWS: AGGIORNAMENTO CHE NON RISOLVE COMPLETAMENTE LA VULNERABILITÀ

microsoft-4417277_1310_900x400.png

Microsoft rilascia aggiornamento per i sistemi Windows, relativo alla vulnerabilità PrintNightmare, che però non risolve completamente la problematica.

 

Il personale Microsoft ha rilasciato un importante aggiornamento per tutti i sistemi Windows atto a risolvere una grave vulnerabilità presente sul servizio di Spooler del sistema operativo.

Lo Spooler di Windows è il servizio che si occupa all’interno del sistema operativo della gestione della coda di stampa: tramite esso è possibile stampare documenti utilizzando una stampante, sia essa connessa direttamente al sistema o connessa all’interno della rete. Sempre tramite tale servizio è possibile condividere una stampante locale, direttamente connessa al sistema, sulla rete.

Purtroppo l’aggiornamento rilasciato non risolve completamente le problematiche di sicurezza.

Per comprendere meglio cosa sta succedendo, è necessario fare un piccolo passo indietro nel tempo. Nel mese di giugno Microsoft pubblicò un aggiornamento, dedicato ai sistemi Windows, atto a risolvere un problema di sicurezza presente all’interno del servizio di stampa (Spooler). Esso venne identificato come CVE-2021-1675, ed inizialmente fu catalogato come vulnerabilità che permetteva l’elevazione dei privilegi utente. Questo significa che la vulnerabilità è sfruttabile solamente avendo un accesso al sistema tramite utente con privilegi limitati, da cui è possibile ottenere privilegi amministrativi (elevazione dei privilegi).

Una settimana dopo un ricercatore annunciò di aver scoperto il modo di sfruttare la vulnerabilità anche remotamente. Oltre a questo, lo stesso ricercatore dichiarò che la vulnerabilità permette l’esecuzione remota di codice.

Quasi contemporaneamente, un altro gruppo di ricercatori annunciò di aver scoperto una vulnerabilità sempre di Remote Code Execution (RCE, esecuzione remota di codice) all’interno dello Spooler di stampa dei sistemi Windows. Tale vulnerabilità fu denominata dai ricercatori “PrintNightmare” e a causa delle similitudini con il precedentemente assegnato CVE-2021-1675, si ipotizzò addirittura che si trattasse della stessa vulnerabilità.

Successivamente, furono effettuati ulteriori test per verificare che la vulnerabilità PrintNightmare fosse stata effettivamente corretta dagli aggiornamenti forniti da Microsoft. Purtroppo così avvenne: l’aggiornamento di Microsoft corresse la problematica segnalata come CVE-2021-1675, ma per un motivo inizialmente sconosciuto, non risolse la problematica di sicurezza nota come PrintNightmare.

A seguito di ulteriori indagini si scoprì che la vulnerabilità sfruttata da PrintNightmare, pur essendo molto simile a quella indicata con il CVE-2021-1675, non era la stessa.

Fu quindi immediatamente segnalata la nuova problematica di sicurezza a Microsoft, a cui è stato successivamente assegnato il CVE-2021-34527.

Tornando al presente, in data 7 Luglio 2021 il personale di Microsoft ha rilasciato un aggiornamento specifico dei sistemi Windows, atto a risolvere la vulnerabilità denominata PrintNightmare, all’interno di un aggiornamento di emergenza denominato KB5004945, disponibile tramite Windows Update.

Secondo quanto riportato da alcuni ricercatori sul celebre social network Twitter, l’aggiornamento rilasciato risolve la problematica relativa all’esecuzione remota di codice (RCE), ma purtroppo non sembra funzionare per quel che riguarda l’elevazione dei privilegi utente.

A seguito dell’installazione pertanto i sistemi Windows sono protetti per quel che riguarda la possibilità di sfruttare remotamente la vulnerabilità, ma purtroppo un utente che può in qualche modo accedere al sistema può ancora elevare i suoi privilegi fino a diventare amministratore del sistema.

Maggiori informazioni possono essere reperite al seguente URL di Twitter:

In questo caso i nostri consigli sono i seguenti:

  • Verificate l’installazione della patch atta a risolvere la vulnerabilità identificata come CVE-2021-1675. Per ottenere il numero di KB relativo al vostro sistema operativo in uso, fate riferimento al seguente URL: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675.
  • Verificate l’installazione della patch atta a risolvere la vulnerabilità identificata come CVE-2021-34527. Per ottenere il numero di KB relativo al vostro sistema operativo in uso, fate riferimento al seguente URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527.
  • Sui sistemi che non necessitano del servizio di Spooler di Windows, disattivate il servizio almeno finché non verrà rilasciato un nuovo aggiornamento che corregge completamente la vulnerabilità. Consigliamo soprattutto di disattivare tale servizio su tutti i sistemi esposti alla rete Internet e all’interno dei Domain Controller, dove solitamente non viene utilizzato il servizio di stampa di Windows.

Vi ricordiamo che gli aggiornamenti cumulativi del mese di luglio sono in uscita in data 13 Luglio, e non è da escludere che al loro interno vi sia un aggiornamento atto a correggere le problematiche di sicurezza rimaste sul servizio di Spooler di stampa di Windows.

 

 

 

Tags: GRUPPO ALTEA

Copyright © 2018 GRUPPO ALTEA - Tutti i diritti riservati - Credits

Privacy Policy Cookie Policy