Nonostante la seconda patch, PrintNightmare è tornato di nuovo

Casa » #Repost

Icona del tempo di lettura 2 minuto. leggere

Icona del calendario Aggiornato su

by Surur Davids 

aggiornato

Condividi questo articolo

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

Microsoft ha affrontato una vulnerabilità in cui gli hacker possono prendere il controllo dei PC installando driver di stampante compromessi da quasi un mese, ma sembra che il problema sia più complesso e più profondo di quanto persino Microsoft avesse previsto.

Nonostantee una patch recente che ha modificato le impostazioni predefinite su Windows 10 e ha impedito agli utenti standard di installare i driver della stampante, gli hacker hanno trovato un bypass che consentiva ancora un'escalation dei privilegi per gli utenti standard.

Benjamin Delpy ha dimostrato che gli hacker possono ottenere rapidamente i privilegi di SISTEMA semplicemente collegandosi a un server di stampa remoto, utilizzando la direttiva del registro CopyFile per copiare un file DLL che apre un prompt dei comandi al client insieme a un driver di stampa quando ci si connette a una stampante .

Microsoft ha riconosciuto il problema in avviso CVE-2021-36958, dicendo:

Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando il servizio Spooler di stampa di Windows esegue in modo improprio operazioni sui file con privilegi. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice arbitrario con privilegi SYSTEM. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.

La soluzione per questa vulnerabilità consiste nell'arrestare e disabilitare il servizio Print Spooler.

Sebbene Microsoft la definisca una vulnerabilità di esecuzione di codice in modalità remota, l'exploit sembra essere un bug di escalation dei privilegi locali, che dovrebbe almeno fornire una certa rassicurazione agli amministratori di rete.

Microsoft consiglia ancora una volta agli amministratori di disabilitare lo spooler di stampa e quindi di disabilitare la stampa da Windows. Un'altra soluzione alternativa, non consigliata da Microsoft, consiste nel limitare le stampanti a cui è possibile connettersi a un elenco specifico utilizzando il criterio di gruppo "Punto pacchetto e stampa - Server approvati". Leggi come farlo su BleepingComputer qui.

Maggiori informazioni sugli argomenti: CVE-2021-36958, sfruttare, StampaIncubo, problemi di, server windows

Surur Davids

Surur Davids Scudo

Esperto di smartphone

Surur Davids è il fondatore di WMPoweruser che in seguito divenne MSPoweruser.com. È un esperto di smartphone con oltre un decennio di esperienza.