I ricercatori di sicurezza in Cina hanno accidentalmente rivelato un bug critico di Windows zero-day soprannominato “PrintNightmare”.
Il proof-of-concept scoperto da Sangfor Technologies con sede a Shenzhen è stato rilasciato questa settimana dopo molta confusione a causa di un’altra vulnerabilità di Print Spooler.
Nel Patch Tuesday di giugno, Microsoft ha originariamente corretto una vulnerabilità di elevata severità dell’elevazione dei privilegi, CVE-2021-1675. Tuttavia, lunedì scorso ha riclassificato il bug come critico, dopo aver giudicato che potrebbe abilitare l’esecuzione di codice remoto (RCE) senza aggiungere ulteriori informazioni.
Sfortunatamente, i ricercatori di Sangfor presumevano che il loro proof-of-concept RCE che riguardava Windows Print Spooler fosse lo stesso. Poiché CVE-2021-1675 era già stato patchato, non hanno riscontrato alcun danno nel rilasciare i dettagli prima della data prevista di Black Hat USA in agosto.
Ora c’è un giorno zero ampiamente diffuso in Print Spooler, con i server dei controller di dominio particolarmente a rischio. Il controllo remoto di questi potrebbe fornire agli attori ransomware e ad altri l’accesso alle reti aziendali.
Sebbene sia necessaria prima l’autenticazione, questa è una barra sempre più bassa per gli aggressori, dato il volume di credenziali violate per RDP e altri sistemi sul dark web.
Il principale ricercatore di Sophos, Paul Ducklin, ha affermato che Microsoft potrebbe rilasciare un aggiornamento fuori banda per risolvere il problema prima del Patch Tuesday di luglio.
“Fai attenzione a una patch e distribuiscila il prima possibile una volta che sarà disponibile. Fino ad allora, sembra che disabilitare lo spooler di stampa sui computer vulnerabili sia una soluzione soddisfacente”, ha affermato.
“Se disponi di server in cui devi assolutamente lasciare in funzione lo spooler di stampa, ti suggeriamo di limitare l’accesso alla rete a tali server nel modo più rigoroso possibile, anche se ciò significa che alcuni dei tuoi utenti riscontrano inconvenienti temporanei”.
Ducklin ha aggiunto che se ci sono server in cui Print Spooler non è necessario, dovrebbe essere disattivato anche dopo che una patch è disponibile per ridurre la superficie di attacco aziendale.
