È soprannominata “PrintNightmare”: una nuova vulnerabilità, chiamata CVE-2021-1675 che colpisce i Server Windows.
Questa criticità sta mettendo a rischio i server Windows per l’esecuzione di un codice remoto e per l’escalation di permessi locali.
Ad inizio Giugno, Microsoft ha rilasciato una patch per gestire questa criticità considerata di bassa gravità; a distanza di qualche settimana è emersa la possibilità di eseguire codice remoto sfruttando questa vulnerabilità.
QUALI SONO LE POSSIBILI CONSEGUENZE?
Questa criticità sfrutta un servizio integrato (Print Spooler) impostato come predefinito sui pc Windows; il suo scopo è quello di gestire i dispositivi per la stampa: non essendo essenziale, spesso viene disabilitato. Questo pericolo vale per tutte le versioni di Windows Server (da Windows Server 2008 – 2019, incluso Windows 10).
Questa vulnerabilità ha due ‘obiettivi’ per il malvivente:
- ESECUZIONE DI CODICE REMOTO: può essere utilizzato come un arma tra computer esterni, separati l’uno dall’altro; significa che non solo offre un’opzione per l’accesso iniziale, ma consente il movimento laterale in altri sistemi.
- ESCALATION DEI PERMESSI LOCALI: avendo accesso ad una macchina con permessi base, si possono ottenere con estrema semplicità i diritti a livello di amministratore di sistema.
Le conseguenze sarebbe estremamente serie: il malvivente potrebbe ottenere il controllo dell’intero dominio. La prima cosa da fare, anche se temporanea, consiste nel disabilitare il servizio Print Spooler. Per approfondire l’argomento, clicca qui.
Se la tua azienda ha un contratto di monitoraggio per i Server, abbiamo già messo i sistemi in sicurezza.
Se la tua azienda non ha un contratto di monitoraggio e ti serve aiuto per affrontare il problema, contatta con la massima urgenza il supporto tecnico.