CVE-2021-1675 è una vulnerabilità critica di Windows con un proof-of-concept disponibile che potrebbe consentire agli aggressori remoti di eseguire il codice. Il codice PoC è stato condiviso su GitHub all'inizio di questa settimana, e smontato in poche ore. Tuttavia, sono bastate queste poche ore per copiare il codice.
La vulnerabilità di PrintNightmare
La vulnerabilità è stata chiamata PrintNightmare, come esiste nello spooler di stampa di Windows. Inizialmente è stato affrontato in Patch Tuesday del mese scorso come un insignificante problema di elevazione dei privilegi. Tuttavia, ricercatori di sicurezza di Tencent e NSFOCUS TIANJI Lab hanno scoperto che il bug CVE-2021-1675 potrebbe essere implementato per Attacchi RCE, cambiando automaticamente il suo stato in critico:
Quando è stato originariamente divulgato nell'aggiornamento del Patch Tuesday di giugno, è stata descritta come una vulnerabilità di livello basso di gravità dell'elevazione dei privilegi. Tale designazione è stata aggiornata a giugno 21 per indicare una gravità critica e il potenziale di RCE. La scoperta è stata attribuita a Zhipeng Huo di Tencent Security Xuanwu Lab, Piotr Madej di AFINE e Yunhai Zhang di NSFOCUS TIANJI Lab, secondo Il resoconto di Tenable.
Secondo il ricercatore di sicurezza Marius Sandbu, “la vulnerabilità stessa è possibile perché, Il servizio Microsoft Windows Print Spooler non riesce a limitare l'accesso a RpcAddPrinterDriverEx() funzione, che può consentire a un utente malintenzionato autenticato in remoto di eseguire codice arbitrario con privilegi di SISTEMA su un sistema vulnerabile.
I prodotti Microsoft interessati includono tutti i sistemi operativi di Windows 7 a Windows 10, e tutto da Server 2008 al server 2019, secondo Dirk Schrader, vicepresidente globale della ricerca sulla sicurezza presso New Net Technologies (NNT), che ha condiviso la sua intuizione con ThreatPost.
CVE-2021-1675 Sfruttamento
Lo sfruttamento della vulnerabilità PrintNightmare potrebbe consentire agli aggressori remoti di ottenere il pieno controllo sui sistemi interessati. L'esecuzione di codice remoto potrebbe essere ottenuta prendendo di mira un utente autenticato al servizio spooler.
“Senza autenticazione, il difetto potrebbe essere sfruttato per elevare i privilegi, rendere questa vulnerabilità un anello prezioso in una catena di attacchi,” Tenable aggiunto Ten.
È interessante notare che questo non è il primo problema di Windows Print Spooler identificato dai ricercatori. Infatti, il servizio ha una lunga storia di vulnerabilità. Per esempio, tali difetti erano associati ai famigerati attacchi Stuxnet.
Un esempio più recente include CVE-2020-1337, uno spooler di stampa zero-day divulgato durante Black Hat e DEF CON . del 2020. Il difetto era un bypass della patch per CVE-2020-1048, un altro bug di Windows Print Spooler corretto a maggio 2020.
I ricercatori notano anche che la patch disponibile potrebbe non essere completamente efficace. Tuttavia, altre mitigazioni sono possibili, come portare lo spooler di stampa offline. Infine, la maggior parte degli endpoint sarebbe al sicuro contro l'exploit PrintNightmare con le regole predefinite di Windows Firewall integrate.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: