PrintNightmare è una vulnerabilità scoperta negli ultimi giorni nel servizio di stampa di Windows che permette agli hacker di eseguire codice da remoto.
Nei giorni scorsi è emersa la vulnerabilità critica PrintNightmare, che prende di mira il servizio Print Spooler di Windows, che gestisce il processo di stampa all’interno del sistema operativo, e permette di eseguire delle righe di codice non autorizzate da remoto. Microsoft, successivamente, ha confermato che la vulnerabilità conosciuta come CVE-2021-34527 è presente in tutte le versioni di Windows. L’azienda ha anche divulgato alcuni consigli di mitigazione per bloccare gli attacchi che prendono di mira questa vulnerabilità zero-day.
Questo bug di esecuzione del codice remoto (RCE), ora tracciato come CVE-2021-34527, ha un impatto su tutte le versioni di Windows, secondo quanto afferma Microsoft, con la società che sta ancora indagando se la vulnerabilità sia davvero sfruttabile su tutte. CVE-2021-34527 consente agli aggressori di assumere il controllo dei server interessati tramite l’esecuzione di codice remoto con privilegi di sistema in quanto consente loro di installare programmi, visualizzare, modificare o eliminare dati e creare nuovi account con diritti utente completi.
La società ha aggiunto in un avviso di sicurezza appena rilasciato che PrintNightmare è già stato sfruttato almeno una volta. Microsoft non ha voluto condividere altri dettagli, come chi c’è dietro lo sfruttamento scoperto (se hacker o security researchers). Tuttavia, in un report separato scoperto da BleepingComputer, Microsoft afferma che gli aggressori stanno attivamente sfruttando la zero-day PrintNightmare.
Microsoft 365 Defender customers can also refer to the threat analytics report we published on this vulnerability. The report provides tech details, guidance for mitigating the impact of this threat, and advanced hunting queries, which are published here: https://t.co/tBunCJgn6W
— Microsoft Security Intelligence (@MsftSecIntel) July 2, 2021
Al momento non sono disponibili delle patch per poter risolvere questa vulnerabilità, Microsoft infatti sta ancora indagando sul problema e sta lavorando a una soluzione. L’azienda ha anche fugato i dubbi riguardo il bug affermando che è “simile ma distinto dalla vulnerabilità assegnata a CVE-2021-1675”, che è stata corretta a giugno.
In ogni caso Microsoft ha condiviso alcune misure di mitigazione per impedire agli aggressori di assumere il controllo dei sistemi vulnerabili. La prima soluzione è quella di disattivare il servizio interessato, ma non si potrà più stampare né in locale né in remoto; la seconda invece è quella di disattivare la stampa remota tramite i Criteri di Gruppo, mantenendo attiva la stampa locale dal dispositivo direttamente collegato alla stampante.