Spooler di stampa di Windows sfruttato per diffondere malware

7 months ago 121

Nelle scorse ore è emersa una nuova vulnerabilità che riguarda lo spooler di stampa di Windows. Microsoft ha già risolto il problema con il rilascio dell’ultimo aggiornamento cumulativo.

23 APRILE 2024 | A  quasi tre anni di distanza, sembrerebbe che sia ancora possibile sfruttare falle dello spooler di stampa di Windows sebbene siano state corrette da Microsoft. Secondo un nuovo report dei ricercatori di sicurezza, alcune campagne malware condotte dal gruppo di hacker russo APT28 in tutto il mondo diffondono un exploit denominato GooseEgg, in grado di sfruttare una falla simile a PrintNightmare per eseguire codice in remoto, l’installazione di una backdoor e infettare reti.

15 SETTEMBRE 2021 | Dopo ben tre mesi, Microsoft sembrerebbe essere venuta finalmente a capo della vulnerabilità PrintNightmare. Le ultime patch di sicurezza di settembre sembrerebbero aver definitivamente corretto la falla CVE-2021-36958.

Abbiamo completato l’indagine e abbiamo rilasciato gli aggiornamenti di sicurezza di settembre 2021 per risolvere questa vulnerabilità.

12 AGOSTO 2021 | A 48 ore dalla patch di sicurezza, Microsoft ha comunicato di essere a conoscenza di un’ulteriore falla CVE-2021-36958 dello spooler di stampa di Windows riconducibile a PrintNightmare e legata all’esecuzione di codice in remoto. Al momento non è stata rilasciata nessuna patch, tuttavia è possibile mitigare la vulnerabilità disabilitando lo spooler di stampa.
Inoltre, è notizia di queste ore che alcuni ransomware stanno ora utilizzando la vulnerabilità PrintNightmare per colpire server Windows non ancora aggiornati.

10 AGOSTO 2021 | Appena pochi giorni dopo i report del bypass della patch rilasciata a luglio, Microsoft ha comunicato di aver finalmente corretto la falla CVE-2021-34481 denominata PrintNightmare. Con l’aggiornamento di sicurezza di agosto Microsoft ha anche inserito il requisito dei privilegi di amministratore di rete per poter installare i driver di stampa per evitare ulteriori attacchi.

Microsoft ha completato l’indagine e ha rilasciato aggiornamenti della sicurezza per risolvere questa vulnerabilità. Vedere la tabella Aggiornamenti sicurezza per l’aggiornamento applicabile al sistema. È consigliabile installare immediatamente questi aggiornamenti. Questo aggiornamento per la protezione modifica il comportamento predefinito Point and Print –  vedere KB5005652.

5 AGOSTO 2021 | Dopo la scoperta della possibilità di bypassare la mitigazione di Microsoft, il team di 0patch ha rilasciato una nuova patch non ufficiale per tutte le versioni di Windows.

Free Micropatches for Malicious Printer Driver Issue (0day) https://t.co/cwwbH1TKZk pic.twitter.com/9PaKanbimq

— 0patch (@0patch) August 5, 2021

1 AGOSTO 2021 | Stando ai report di alcuni ricercatori, la vulnerabilità PrintNightmare rappresenterebbe ancora una seria minaccia nonostante la patch rilasciata da Microsoft, confermando la possibilità di bypassare la mitigazione e ottenere i privilegi di sistema. A tal proposito, in attesa di un’ulteriore patch ufficiale, sono disponibili alcuni metodi per arginare la falla – trovate maggiori dettagli a questo indirizzo.

19 LUGLIO 2021 | Dopo le voci di una patch incompleta e la scoperta di un ulteriore falla appena pochi giorni fa, stando ad alcuni ricercatori sarebbe emersa l’ennesima vulnerabilità che coinvolge la funzionalità file in coda dello spooler di stampa – trovate maggiori dettagli a questo indirizzo.

16 LUGLIO 2021 | Microsoft e lo spooler di stampa non trovano pace. Nelle scorse ore sarebbe stata trovata un’ulteriore falla CVE-2021-34481 già segnalata da Microsoft anche se non ha rilasciato una patch. La vulnerabilità in questo caso è sfruttabile solamente localmente, tuttavia è possibile mitigare la falla disabilitando lo spooler di stampa.

9 LUGLIO 2021 | Dopo i report sulla patch non efficace, Microsoft ha comunicato che la patch funziona e invita tutti ad aggiornare il prima possibile. I casi in cui la patch non funzionava erano dovuti a delle modifiche di registro, per tanto è stata pubblicata una guida a questo indirizzo per verificare se quest’ultime siano presenti.

La nostra indagine ha dimostrato che l’aggiornamento di sicurezza OOB funziona come previsto ed è efficace contro i noti exploit di spooling della stampante e altri rapporti pubblici indicati collettivamente come PrintNightmare. Tutti i rapporti che abbiamo esaminato si sono basati sulla modifica dell’impostazione di registro predefinita relativa a Point and Print in una configurazione non sicura.

8 LUGLIO 2021 | Nonostante la patch rilasciata da Microsoft sembrerebbe che lo spooler di stampa sia ancora vulnerabile. La mitigazione di Microsoft sarebbe stata bypassata da alcuni ricercatori mostrando nuovi punti deboli potenzialmente sfruttabili.

The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector – however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). 🤦‍♂️ https://t.co/PRO3p99CFo

— hackerfantastic.x (@hackerfantastic) July 6, 2021

7 LUGLIO 2021 | Appena cinque giorni dopo la scoperta della vulnerabilità, Microsoft ha corretto la falla con il rilascio di un nuovo aggiornamento cumulativo straordinario per Windows 10 – maggiori dettagli in quest’altro articolo.

5 LUGLIO 2021 | Ancora una volta il team di 0patch fornisce una soluzione prima di Microsoft. La vulnerabilità 0-day scoperta in questi giorni è già stata corretta con il rilascio di una patch non ufficiale per tutte le versioni di Windows.

Free Micropatches for PrintNightmare Vulnerability (CVE-2021-34527)https://t.co/MWQU2un1CT pic.twitter.com/U4EHBnUlHi

— 0patch (@0patch) July 2, 2021

2 LUGLIO 2021 | Dopo PrintDemon, lo spooler di stampa è affetto da una nuova vulnerabilità CVE-2021-34527, ribattezzata PrintNightmare e sfruttata attivamente, che permetterebbe l’esecuzione di codice in remoto. Microsoft sta lavorando ad una patch di sicurezza per correggere la nuova falla 0-day.

Microsoft has assigned CVE-2021-34527 to the remote code execution vulnerability that affects Windows Print Spooler. Get more info here: https://t.co/OarPvNCX7O

— Microsoft Threat Intelligence (@MsftSecIntel) July 2, 2021

28 GENNAIO 2021 | Nonostante Microsoft abbia promesso una patch lo scorso agosto, la vulnerabilità 0-day non è stata ancora corretta. Tuttavia il team di 0Patch ha rilasciato una patch non ufficiale per tutte le versioni di Windows.

As this 0day hasn't been patched with January Windows Updates (i.e. is still a 0day), we ported our micropatch to fully updated 64bit Windows 7, Windows 8.1, Windows 10 (1903/1909/2004/20H2) and Servers 2008 R2, 2016 and 2019. https://t.co/jDVln5ZHIJ

— 0patch (@0patch) January 28, 2021

7 AGOSTO 2020 | Stando al report di alcuni ricercatori, nonostante la patch di Microsoft rilasciata a maggio, lo spooler di stampa sarebbe vittima della nuova falla CVE-2020-1337. Microsoft prevede di patchare la vulnerabilità scoperta con l’aggiornamento cumulativo di agosto.

21 MAGGIO 2020 | Il team di 0Patch ha rilasciato una patch non ufficiale anche per Windows 7 – maggiori dettagli a questo indirizzo.

Spooler di stampa vulnerabile

Una nuova vulnerabilità scoperta riguarda lo spooler di stampa di Windows. Nello specifico si tratta di una falla del componente per gestire le stampanti introdotto in Windows NT 4 e di cui tutte le versioni di Windows fanno ancora uso e già vittima in passato del malware Stuxnet. Un malintenzionato, tramite un semplice comando PowerShell, può assumere privilegi elevati e prendere il controllo installando codice malevolo.

https://twitter.com/aionescu/status/1260466215299973121

Microsoft ha pubblicato un avviso di sicurezza con i dettagli della falla CVE-2020-1048 e gli scenari del possibile sfruttamento dell’exploit, risolti con il rilascio di una patch di sicurezza.

Esiste una vulnerabilità legata all’acquisizione di privilegi più elevati quando il servizio Spooler di stampa Windows consente erroneamente la scrittura arbitraria nel file system. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario con privilegi di sistema elevati. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.

Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe accedere a un sistema interessato ed eseguire uno script o un’applicazione appositamente predisposti.

L’aggiornamento risolve la vulnerabilità correggendo il modo in cui il componente Spooler di stampa di Windows scrive nel file system.

Il consiglio sempre valido è quello di tenere costantemente aggiornato il vostro PC. Cosa ne pensate di questa vulnerabilità? Fatecelo sapere nei commenti.

Articolo di Windows Blog Italia
Fonte | Borncity

Read Entire Article