Nuova vulnerabilità nello spooler della stampante permette l'esecuzione di codice dannoso

A metà maggio avevamo parlato di una grave vulnerabilità nello spooler della stampante di Windows presente nel sistema operativo Microsoft addirittura sin dai tempi di Windows NT. Si tratta di un problema di sicurezza critico perché consente a un malintenzionato di assumere il pieno controllo della macchina acquisendo i diritti SYSTEM.

Alla falla di sicurezza è stato assegnato l’identificativo CVE-2020-1048 e i tecnici Microsoft hanno provveduto a rilasciare le patch correttive, anche per un sistema operativo non più supportato come Windows 7.

La novità è che i ricercatori Peleg Hadar e Tomer Bar di SafeBreach Labs hanno scoperto che l’aggiornamento correttivo distribuito da Microsoft può essere “scavalcato” riuscendo comunque a provocare l’esecuzione di codice malevolo con i privilegi più elevati. Al nuovo problema di sicurezza, che sarà risolto con una nuova patch Microsoft il prossimo 11 agosto, è stato assegnato l’identificativo CVE-2020-1337.

Hadar e Bar hanno aggiunto che i dettagli tecnici saranno condivisi dopo la pubblicazione della nuova patch da parte di Microsoft.
Per adesso i due ricercatori si sono limitati a far presente che interagendo con il componente software che gestisce lo spooler della stampante è possibile sostituire il contenuto di uno o più file con il SID (Windows e i permessi per l’accesso a file e cartelle: cosa sono i SID) SYSTEM. Al riavvio della macchina il codice malevolo viene automaticamente eseguito e una serie di librerie DLL possono essere posizionate nella cartella di sistema system32. Avendo utilizzato “come intermediario” lo spooler della stampante, il sistema operativo non verifica neppure la presenza della firma digitale e il codice arbitrario viene eseguito.

Lo spooler della stampante si conferma una vera e propria “bestia nera” per Windows (un problema simile fu sfruttato nel 2010 dal noto malware Stuxnet per attività di spionaggio industriale nei confronti di obiettivi di alto profilo): è vero che le vulnerabilità individuate non possono essere sfruttate da remoto ma si rivelano estremamente efficaci per quei criminali informatici che volessero acquisire i privilegi più elevati su qualunque macchina Windows. Per non parlare del fatto che bug come quelli descritti possono essere combinati con altre vulnerabilità, ad esempio quelle che facilitano attacchi a distanza.