Soluzione alternativa per la vulnerabilità legata all'esecuzione di codice remoto dello spooler di stampa di Windows
- Categoria: Finestre
Microsoft divulgato una nuova vulnerabilità legata all'esecuzione di codice in modalità remota in Windows di recente che utilizza lo spooler di stampa di Windows. La vulnerabilità viene sfruttata attivamente e Microsoft ha pubblicato due soluzioni alternative per proteggere i sistemi dagli attacchi.
Le informazioni fornite sono insufficienti, poiché Microsoft non rivela nemmeno le versioni di Windows interessate dal problema di sicurezza. A quanto pare, sembra interessare i controller di dominio per la maggior parte e non la maggior parte dei computer di casa, poiché richiede utenti remoti autenticati.
Aggiornare Nota: Microsoft ha rilasciato aggiornamenti fuori banda per risolvere la vulnerabilità relativa alla stampa. Trovi i link alle patch su questa pagina Microsoft . Fine
0Patch , che ha analizzato la patch, suggerisce che il problema riguarda principalmente le versioni di Windows Server, ma che anche i sistemi Windows 10 e i server non DC potrebbero essere interessati se sono state apportate modifiche alla configurazione predefinita:
UAC (Controllo dell'account utente) è completamente disabilitato
PointAndPrint NoWarningNoElevationOnInstall è abilitato
Il CVE offre la seguente descrizione:
Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando il servizio Spooler di stampa di Windows esegue in modo improprio operazioni sui file con privilegi. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice arbitrario con privilegi SYSTEM. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.
Un attacco deve coinvolgere un utente autenticato che chiama RpcAddPrinterDriverEx().
Assicurati di aver applicato gli aggiornamenti di sicurezza rilasciati l'8 giugno 2021 e consulta le sezioni Domande frequenti e Soluzioni alternative in questo CVE per informazioni su come proteggere il tuo sistema da questa vulnerabilità.
Microsoft fornisce due suggerimenti: disabilitare il servizio Spooler di stampa o disabilitare la stampa remota in entrata utilizzando i Criteri di gruppo. La prima soluzione disabilita la stampa, locale e remota, sul dispositivo. Potrebbe essere una soluzione su sistemi su cui non è richiesta la funzionalità di stampa, ma non è realmente un'opzione se la stampa viene eseguita su un dispositivo. Puoi attivare lo spooler di stampa su richiesta, ma ciò può diventare rapidamente un fastidio.
La seconda soluzione richiede l'accesso ai Criteri di gruppo, disponibile solo nelle versioni Pro ed Enterprise di Windows.
Ecco entrambe le soluzioni alternative:
Per disabilitare lo spooler di stampa, procedere come segue:
- Apri un prompt di PowerShell con privilegi elevati, ad es. utilizzando Windows-X e selezionando Windows PowerShell (amministratore).
- Esegui Get-Service -Name Spooler.
- Esegui Stop-Service -Name Spooler -Force
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
Il comando (4) interrompe il servizio Print Spooler, il comando (5) lo disabilita. Tieni presente che non sarai più in grado di stampare quando apporti le modifiche (a meno che non abiliti nuovamente il servizio Spooler di stampa.
Per disabilitare la stampa remota in entrata, procedi come segue:
- Apri Inizio.
- Digita gpedit.msc.
- Carica l'Editor criteri di gruppo.
- Vai a Configurazione computer / Modelli amministrativi / Stampanti.
- Fare doppio clic su Consenti allo spooler di stampa di accettare le connessioni client.
- Imposta il criterio su Disabilitato.
- Seleziona ok.
0Patch ha sviluppato e pubblicato una micropatch che risolve il problema di esecuzione del codice remoto dello spooler di stampa. La patch è stata creata solo per Windows Server al momento, in particolare Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 e Windows Server 2019.