Il 29 giugno, il codice di un exploit che sfrutta la vulnerabilità CVE-2021-1675 dello spooler di stampa di Windows (spoolsv.exe) è stato prima pubblicato e successivamente ritirato da GitHub dai ricercatori Zhiniang Peng & Xuefeng Li, ma non prima che venisse clonato da un altro utente.

https://twitter.com/edwardzpeng/status/1409810304091889669

I ricercatori di sicurezza, che prevedono di fare una presentazione dell’exploit alla prossima edizione della convention BlackHat USA, hanno pubblicato in maniera accidentale un codice Proof of Concept (PoC) che dimostrava come poter sfruttare la vulnerabilità.

L’exploit consente infatti di guadagnare i privilegi di SYSTEM su un sistema remoto, e visto che lo spooler di stampa è installato e attivo di default sui server Windows, domain controller incluso, questo è un problema molto serio.

A inizio giugno Microsoft aveva incluso negli update di sicurezza una patch per la vulnerabilità, al momento considerata a basso rischio perché consentiva solo attacchi locali (Local Privilege Escalation) e che richiedevano intervento umano. Successivamente Microsoft ha riclassificato CVE-2021-1675 come una più grave vulnerabilità che consente Remote Code Execution.

Purtroppo è stato dimostrato che l’exploit in circolazione è efficace anche sui sistemi patchati con l’update di sicurezza di giugno, almeno nel caso di Windows Server 2019 senza TPM.

(qui una versione del video in alta risoluzione)

Ed è per questo che sono state rilasciate da Microsoft patch per Windows Server 2019, Windows Server 2012 R2, Windows Server 2008, Windows 8.1, Windows RT 8.1 e una varietà di versioni supportate di Windows 10. Sono state rilasciate patch persino per Windows 7 il cui supporto ufficiale è giunto al termine lo scorso anno. Tuttavia, Microsoft non ha ancora rilasciato patch per Windows Server 2012, Windows Server 2016 e Windows 10 versione 1607 e afferma che “gli aggiornamenti di sicurezza per queste versioni di Windows verranno rilasciati presto”.

Purtroppo, anche questi aggiornamenti non risolvono del tutto il problema, perché è possibile aggirarle modificando l’exploit.

Al momento, la raccomandazione è quella di disabilitare spoolsv.exe dai sistemi server, e tenere d’occhio gli advisory e gli aggiornamenti di sicurezza di Microsoft dove si legge “Si consiglia di installare immediatamente questi aggiornamenti. […] Gli aggiornamenti di sicurezza rilasciati a partire dal 6 luglio 2021 contengono protezioni per CVE-2021-1675 e l’exploit di esecuzione di codice remoto aggiuntivo nel servizio Windows Print Spooler noto come ‘PrintNightmare’, documentato in CVE-2021-34527.”

Qualora non fosse possibile disabilitare lo spooler di stampa, Sophos raccomanda di limitarne l’accesso alle sole postazioni indispensabili, agendo a livello di rete, e ha pubblicato sul suo blog Naked Security le istruzioni per disabilitare lo spooler di stampa in modo permanente, anche dopo un riavvio del server.

(Articolo aggiornato l’8 luglio 2021 per aggiungere informazioni sulle patch rilasciate da Microsoft)