Sono diversi mesi che si sente parlare di vulnerabilità collegate agli spooler di stampa per quanto riguarda gli ambienti Microsoft, cerchiamo di capire cosa sta succedendo.
Cos’è una vulnerabilità?
La vulnerabilità informatica può essere intesa come una componente di un sistema informatico, in corrispondenza della quale vi possono essere mal funzionamenti, configurazioni sbagliate oppure misure di sicurezza assenti, ridotte o compromesse.
Possiamo divedere le vulnerabilità nelle seguenti categorie:
- Vulnerabilità del software(detti anche bug): sono mal funzionamenti o errori di scrittura del software e possono presentarsi all’interno del codice, in una configurazione e persino nel processo di installazione. (Rientra in questa sezione microsoft vulnerabilità printnightmare di cui parleremo a breve)
- Vulnerabilità dei protocolli: si tratta di lacune di sicurezza nel sistema di comunicazione fra le tecnologie presenti in un sistema informatico. (Ne sono un esempio i protocolli di crittografia i quali diventano obsoleti a causa delle continue vulnerabilità riscontrate, dovuto anche all’avanzamento tecnologico)
- Vulnerabilità hardware: ovvero quando qualsiasi elemento causa un’oggettivo pericolo al corretto funzionamento di una macchina tecnologica, parliamo di polvere, umidità e tutto ciò che ne compromette la sicurezza.
Cos’è uno 0-day?
Una qualsiasi vulnerabilità di sicurezza informatica non espressamente nota allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico si definisce 0-day.
Vengono chiamati 0-day proprio perché sono passati zero giorni da quando la vulnerabilità è stata conosciuta dallo sviluppatore e quindi lo sviluppatore ha avuto “zero giorni” per riparare la falla nel programma prima che qualcuno possa scrivere un exploit per essa.
Un EXPLOIT non è altro che un software in grado di sfruttare la vulnerabilità con l’intenzione di guadagnarsi un accesso non autorizzato al sistema, rubare dati dati, causare danni e molto altro a seconda delle intenzione del cyber criminale.
MICROSOFT VULNERABILITÀ PRINTNIGHTMARE
Cosa su succedendo negli ambienti Windows? Microsoft nel 2020 scopre una vulnerabilità 0-day che riguarda lo spooler di stampa. Nello specifico si tratta di una falla del componente per gestire le stampanti introdotto in Windows NT 4 e di cui tutte le versioni di Windows fanno ancora uso e già vittima in passato del malware Stuxnet. Un malintenzionato, tramite un semplice comando PowerShell, può assumere privilegi elevati e prendere il controllo installando codice malevolo.
Ad inizio 2021 rilascia le patch di sicurezza per effettuare la fix del problema, ma a Luglio 2021 viene trovata una nuova vulnerabilità chiamata appunto PrintNightmare che permetterebbe l’esecuzione di codice in remoto. Inizia così il rilascio di una serie di patch che dovrebbero mitigare il problema ma non sarà così, bisognerà attendere fino a settembre per avere la patch di sicurezza che corregge definitivamente il problema. In questo articolo qui parliamo dei problemi che vengono generati con l’installazione della fix e come risolverli.
Per completezza riporto quanto dichiarato da Microsoft:
Esiste una vulnerabilità legata all’acquisizione di privilegi più elevati quando il servizio Spooler di stampa Windows consente erroneamente la scrittura arbitraria nel file system. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario con privilegi di sistema elevati. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.
Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe accedere a un sistema interessato ed eseguire uno script o un’applicazione appositamente predisposti (un exploit).
L’aggiornamento risolve la vulnerabilità correggendo il modo in cui il componente Spooler di stampa di Windows scrive nel file system.
Vi lascio un esempio di Exploit lanciato in laboratorio (un ambiente di test) per farvi capire come funziona e la pericolosità di queste vulnerabilità: Clicca qui
Come difenderci da vulnerabilità 0-day
La protezione 0-day è l’abilità di fornire protezione contro gli exploit 0-day. Dal momento che gli attacchi sono generalmente sconosciuti al pubblico, è spesso difficile difendersi da essi. Gli attacchi 0-day sono spesso efficaci contro reti “sicure” e possono rimanere ignoti anche dopo che vengono lanciati. Perciò, gli utenti di questi sistemi “sicuri” devono usare il buonsenso e abitudini sicure durante l’uso del computer. Vi sono inoltre software che tentano di rilevare queste tipologie di minacce usando algoritmi euristici, in futuro avrà un ruolo fondamentale in questo campo l’uso dell’intelligenza artificiale (machine learning). Un consiglio è quello di effettuare periodicamente un analisi delle vulnerabilità della propria infrastruttura, per maggiori informazioni cliccate qui sotto: