Software

PrintNightmare, la nuova vulnerabilità zero-day di Windows è un vero incubo

Nei giorni scorsi è emersa la vulnerabilità critica PrintNightmare, che prende di mira il servizio Print Spooler di Windows, che gestisce il processo di stampa all’interno del sistema operativo, e permette di eseguire delle righe di codice non autorizzate da remoto. Microsoft, successivamente, ha confermato che la vulnerabilità conosciuta come CVE-2021-34527 è presente in tutte le versioni di Windows. L’azienda ha anche divulgato alcuni consigli di mitigazione per bloccare gli attacchi che prendono di mira questa vulnerabilità zero-day.

Come riporta Bleeping Computer, questo bug di esecuzione del codice remoto (RCE), ora tracciato come CVE-2021-34527, ha un impatto su tutte le versioni di Windows, secondo quanto afferma Microsoft, con la società che sta ancora indagando se la vulnerabilità sia davvero sfruttabile su tutte. CVE-2021-34527 consente agli aggressori di assumere il controllo dei server interessati tramite l’esecuzione di codice remoto con privilegi di sistema in quanto consente loro di installare programmi, visualizzare, modificare o eliminare dati e creare nuovi account con diritti utente completi.

La società ha aggiunto in un avviso di sicurezza appena rilasciato che PrintNightmare è già stato sfruttato almeno una volta. Microsoft non ha voluto condividere altri dettagli, come chi c’è dietro lo sfruttamento scoperto (se hacker o security researchers). Tuttavia, in un report separato scoperto da BleepingComputer, Microsoft afferma che gli aggressori stanno attivamente sfruttando la zero-day PrintNightmare.

Al momento non sono disponibili delle patch per poter risolvere questa vulnerabilità, Microsoft infatti sta ancora indagando sul problema e sta lavorando a una soluzione. L’azienda ha anche fugato i dubbi riguardo il bug affermando che è “simile ma distinto dalla vulnerabilità assegnata a CVE-2021-1675”, che è stata corretta a giugno.

In ogni caso Microsoft ha condiviso alcune misure di mitigazione per impedire agli aggressori di assumere il controllo dei sistemi vulnerabili. La prima soluzione è quella di disattivare il servizio interessato, ma non si potrà più stampare né in locale né in remoto; la seconda invece è quella di disattivare la stampa remota tramite i Criteri di Gruppo, mantenendo attiva la stampa locale dal dispositivo direttamente collegato alla stampante.