Gravissima Vulnerabilità su Microsoft Windows
07/01/2021
Proto: N010721.
Con la presente, CERT-Yoroi desidera informarla relativamente ad una grave vulnerabilità che affligge i sistemi operativi Microsoft Windows. La falla è nota con gli identificativi CVE-2021-1675 e CVE-2021-34527, ed è referenziata con l’alias “PrintNightmare”.
A causa di lacune nella gestione di autenticazioni e richieste utente all’interno dei servizi Windows Spooler Service, servizi di stampa di sistema, un attaccante di rete in possesso di credenziali utente non privilegiate può riuscire ad eseguire codice arbitrario all’interno della macchina bersaglio. Tale condizione abilità scenari di rischio rilevanti in quanto la falla può permettere di prendere il controllo di macchine sensibili a seguito della compromissione di pc client ed utenze limitate, inoltre, il servizio Spooler Service risulta attivo di default sulle macchine Windows ed in particolare sui Domain Controller.
Microsoft ha in primis confermato la vulnerabilità con il bollettino di sicurezza aggiornato il 21 Giugno per includere le nuove possibilità di sfruttamento remoto della falla, mentre il 1 Luglio ha emanato un ulteriore bollettino dove emergono tentativi di exploiting in corso. Tuttavia, dalle informazioni emerse fino ad ora, le patch da disposizione paiono non siano del tutto efficaci nel risolvere la problematica in tutte le condizioni.
Considerata la criticità di questa vulnerabilità, la diffusione all'interno del parco macchine Windows dei servizi afflitti, ed rilascio di strumenti di attacco e la momentanea assenza di Yoroi suggerisce di monitorare ed applicare a stretto giro gli aggiornamenti di sicurezza out-of-band di Microsoft, di valutare la temporanea disabilitazione del servizio “spooler” o di restringere temporaneamente l’accesso alla cartella “C:\Windows\System32\spool\drivers” da parte dell’utenza “SYSTEM” tramite ACL all'interno del parco macchine Microsoft Windows interessato.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
