Anche stampare può diventare pericoloso: Nei giorni scorsi Microsoft ha diffuso un avviso su una pericolosa falla di Windows Battezzata Windows PrintNightmare che colpisce il Print Spooler
PrintNightmare è una vulnerabilità critica emersa negli scorsi giorni nel servizio di Windows Print Spooler, che come lascia intuire il nome si occupa di gestire tutto il processo di stampa.
Secondo le indagini dei ricercatori confermate da Microsoft stessa, circolano già dei malware che sfruttano il bug per compromettere i sistemi; è insomma urgente chiudere la falla e mettere in sicurezza il proprio computer.
La buona notizia è che una patch correttiva è stata rilasciata lo scorso mese, con il Patch Tuesday di giugno; la cattiva è che non è efficace al 100% contro le varianti più recenti.
In breve, il problema è che il servizio non limita l’accesso alla funzione RpcAddPrinterDriverEx(), che viene generalmente usata in fase di installazione di un driver; quindi un hacker che si è autenticato da remoto può sfruttarla per eseguire codice non autorizzato.
La minaccia è stata subito ribattezzata PrintNightmare e gli è stato assegnato codice CVE 2021-34527.
La falla è di incredibile gravità, perché permette di accedere ed eseguire codice da remoto con privilegi di sistema e accedere ad una quantità enorme di dati, creando o cancellando anche account.
Ad aumentare il rischio, inoltre, c’è il codice di exploit, ovvero il modo in cui la falla funziona: solitamente resta segreto, ma in questo caso un ricercatore lo ha pubblicato per errore e ora è pubblico.
Microsoft aveva già chiuso con una patch una vulnerabilità simile ma in questo caso l’azienda ha specificato che non è la stessa, che è un bug nuovo sconosciuto e al momento non ha idea di chi la stia sfruttando ma soprattutto se colpisca tutti i sistemi Windows o solo alcune versioni.
Per esempio, la funzione potrebbe essere indirizzata a un driver presente su un server remoto.
Per il momento l’unico modo di essere al 100% sicuri è disabilitare completamente il servizio, ma si perde completamente ogni possibilità di stampare; oppure di disattivare la stampa da remoto tramite i Criteri di Gruppo.
La disabilitazione totale dello Spooler può avvenire tramite comando PowerShell, quindi la chiusura e il blocco dell’avvio automatico al restart.
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
La seconda procedura è indicata a chi vuole ugualmente stampare in locale, ma vuole solo impedire la stampa remota da altri sistemi: si deve entrare nelle policy di gruppo, template di amministrazione, stampanti e disabilitare “Permetti allo spooler di stampa di accettare connessioni remote”.