Microsoft ha rilasciato un aggiornamento di sicurezza “out-of-band” per correggere la vulnerabilità scoperta nel Windows Print Spooler (CVE-2021-34527) e nota come PrintNightmare. La patch è disponibile per quasi tutte le versioni di Windows, ma un ricercatore di sicurezza ha verificato che la soluzione è incompleta.
PrintNightmare: patch di emergenza, ma parziale
La vulnerabilità zero-day, presente nel servizio Windows Print Spooler, può essere sfruttata per eseguire codice remoto con privilegi SYSTEM e quindi eseguire una serie di azioni, tra cui installazione di programmi, cancellazione dei dati e creazione di account con diritti di amministratore. La pubblicazione (per errore) di un PoC (Proof-of-Concept) ha costretto Microsoft al rilascio di un fix “out-of-band”, ovvero prima del famoso Patch Tuesday (13 luglio).
L’aggiornamento di sicurezza, che include anche le protezioni contro il bug CVE-2021-1675, è disponibile per tutte le versioni di Windows (anche Windows 7), ad eccezione di Windows Server 2016, Windows 10 1607 e Windows Server 2012 (verrà distribuita nei prossimi giorni). La patch può essere scaricata da Windows Update o installata manualmente.
Il ricercatore di sicurezza Will Dormann ha tuttavia scoperto che la soluzione è incompleta perché non corregge il secondo vettore di attacco, ovvero l’escalation di privilegi locale.
And based on testing of the first VM of mine that completed the install of the update (Windows 8.1), it looks like it works against both the SMB and the RPC variants in the @cube0x0 github repo. I don't think that LPE is fixed, though. @hackerfantastic 's PoC still works.
? pic.twitter.com/tDQpagUTRf— Will Dormann (@wdormann) July 6, 2021
Nelle FAQ sono indicate anche le modifiche da apportare al registro per bloccare l’exploit quando viene utilizzata la tecnologia Point and Print. Dormann ha verificato che l’impostazione NoWarningNoElevationOnInstall = 0
non funziona.
Also, the @msftsecresponse description for how Point and Print is related seems to be just wrong. In my testing setting NoWarningNoElevationOnInstall = 0 does NOT prevent exploitation
Can we get some MSRC love to get the official publication as accurate as the Twitter volunteers? pic.twitter.com/rXaLU0P5tx— Will Dormann (@wdormann) July 6, 2021
Microsoft sottolinea che, dopo aver installato la patch, gli utenti non amministratori potranno installare solo i driver firmati, quando il client è connesso ad un server di stampa. Per i driver non firmati sono necessari i diritti di amministratore.
Aggiornamento (8/07/2021): Microsoft ha rilasciato anche le patch per Windows Server 2012, Windows Server 2016 e Windows 10 1607.