Qualche giorno fa Microsoft ha rilasciato l'aggiornamento di sicurezza KB5004945, che avrebbe dovuto correggere la vulnerabilità PrintNightmare scoperta per caso il mese scorso da dei ricercatori e che permette l'esecuzione di codice da remoto. Sembra però che la patch non funzioni davvero: alcuni ricercatori sono riusciti a sfruttarla ancora, nonostante il fix rilasciato da Microsoft.
Dopo il rilascio dell'aggiornamento, come riporta BleepingComputer, i ricercatori di sicurezza Matthew Hickey, co-fondatore di Hacker House, e Will Dormann, un analista di vulnerabilità per CERT/CC, hanno stabilito che Microsoft ha corretto solo il componente di esecuzione del codice da remoto della vulnerabilità. I malintenzionati però avrebbero comunque potuto utilizzare la vulnerabilità per ottenere i privilegi di amministratore.
The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector - however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). 🤦♂️ https://t.co/PRO3p99CFo
— hacker.house (@hackerfantastic) July 6, 2021
Poche ore più tardi, testando l'aggiornamento, è stato scoperto che si può ignorare completamente l'intera patch sia per ottenere i privilegi di amministrazione tramite privilege escalation (LPE) sia per eseguire codice da remoto (RCE), quando il criterio Point and Print è abilitato.
Hickey ha dichiarato a BleepingComputer che sta ancora consigliando ad amministratori e utenti di disabilitare il servizio Print Spooler per proteggere i propri server e workstation Windows fino al rilascio di una patch funzionante. 0patch ha anche rilasciato una micropatch gratuita per PrintNightmare che finora è stata in grado di bloccare i tentativi di sfruttare la vulnerabilità, tuttavia sconsigliano l'installazione della patch del 6 luglio di Microsoft in quanto non solo non protegge dalle vulnerabilità, ma modifica il file "localspl.dll" in modo che la patch di 0Patch non funzioni più.
Si consiglia agli utenti e agli amministratori di eseguire una delle seguenti operazioni su Windows:
- Non installare la patch del 6 luglio e installare invece la micropatch di 0Patch finché non viene rilasciata una patch funzionante da Microsoft.
- Disabilitare il Print Spooler seguendo le istruzioni riportate da BleepingComputer.
- Installare la patch PrintNightmare del 6 luglio di Microsoft e abilitare il valore "RestrictDriverInstallationToAdministrators" nel Registro di sistema per consentire solo agli amministratori di installare i driver su un server di stampa. È possibile trovare istruzioni su come configurare questo valore del Registro di sistema all'interno del supporto di Microsoft.
Microsoft ha affermato di star indagando sulle affermazioni riguardo il possibile bypass della loro patch. "Siamo a conoscenza delle affermazioni [dei ricercatori] e stiamo indagando, ma in questo momento non siamo a conoscenza di alcun bypass", ha detto Microsoft a BleepingComputer. La società ha inoltre affermato che adotterà le misure appropriate per proteggere i propri clienti se le indagini indicheranno ulteriori problemi.