PrintNightmare, vulnerabilità critica dello spooler di stampa di Windows


12 Luglio 2021 - Il bug di Windows zero-day che consente l’esecuzione di codice remoto.


 Il bug di Windows zero-day che consente l’esecuzione di codice remoto.

Scoperta l'esistenza di una vulnerabilità (CVE-2021-34527) all'interno del servizio Spooler di stampa di Windows che un malintenzionato potrebbe sfruttare e ottenere la possibilità di installare programmi, visualizzare, modificare o eliminare dati e creare nuovi account con diritti utente completi. Non esiste ancora una patch ufficiale per risolvere questo bug, ma, data la sua gravità, prevediamo che Microsoft rilascerà una correzione il prima possibile. Quindi in attesa della patch provvediamo a tamponare il più possibile il problema.

Innanzitutto, determinare se il servizio Spooler di stampa è in esecuzione eseguendo lo script seguente in PowerShell:

 # get-service -name Spooler.

Per proteggere il sistema, è necessario confermare che le seguenti impostazioni di registro siano impostate su 0 (zero) o non siano definite:

 - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
 - NoWarningNoElevationOnInstall = 0 (DWORD) o non definito (impostazione predefinita)
 - NoWarningNoElevationOnUpdate = 0 (DWORD) o non definito (impostazione predefinita)
 
In caso contrario proseguire con le seguenti opzioni:

Opzione 1 – Disabilita il servizio Print Spooler con il comando seguente di PowerShell:

 # Stop-Service -Name Spooler -Force

 # Set-Service -Name Spooler -StartupType Disabled

La disattivazione del servizio Spooler di stampa disabilita la possibilità di stampare sia localmente che in remoto.

Opzione 2: disabilitare la stampa remota in entrata tramite Criteri di gruppo

È inoltre possibile configurare le impostazioni tramite Criteri di gruppo come segue:

 - Configurazione computer/Modelli amministrativi/Stampanti

 - Disabilitare il criterio "Consenti allo spooler di stampa di accettare connessioni client:" per bloccare gli attacchi remoti.

È necessario riavviare il servizio Spooler di stampa affinché i criteri di gruppo abbiano effetto.

Questo criterio bloccherà il vettore di attacco remoto impedendo le operazioni di stampa remota in entrata. Il sistema non funzionerà più come server di stampa, ma sarà comunque possibile stampare in locale su un dispositivo direttamente collegato.



Commenti:

Nessun commento

Accedi al portale per commentare l'articolo. Accedi