Un server di stampa remoto permette di acquisire privilegi SYSTEM in Windows

Lo scorso giugno ha fatto scalpore la scoperta di una grave vulnerabilità nello spooler della stampante di Windows, sia lato server che lato client.
Il problema di sicurezza, sfruttabile da eventuali malintenzionati, può essere utilizzato per acquisire privilegi più elevati ed eseguire qualunque comando sulla macchina con i diritti dell’account SYSTEM utilizzato dal sistema operativo e dai servizi eseguiti in Windows.

La vulnerabilità battezzata PrintNightmare è stata dapprima corretta con il rilascio di un aggiornamento out-of-band. Successivamente, con il “patch day” di luglio, Microsoft ha pubblicato nuovi aggiornamenti correttivi.

Gli esperti di sicurezza hanno fatto notare che le correzioni messe a disposizione da Microsoft sono “parziali” e non risolvono completamente il problema.

Per rafforzare questa tesi il ricercatore Benjamin Delpy ha allestito un server di stampa accessibile da remoto che permette di acquisire i privilegi SYSTEM su qualunque macchina Windows aggiornata con le ultime patch di Microsoft.
Delpy descrive il suo lavoro come un esempio di “user-to-system-as-a-service“: l’utente non deve fare altro che aggiungere la stampante di rete accessibile all’indirizzo pubblico predisposto da Delpy: si aprirà automaticamente il prompt dei comandi con i diritti SYSTEM. Basterà verificarlo digitando il comando whoami.

L’unico baluardo contro eventuali utilizzi da parte di malintenzionati resta Microsoft Defender: il software per la sicurezza installato in Windows è infatti in grado di riconoscere e neutralizzare l’attacco zero-day. Il prompt dei comandi si apre infatti se e solo se Microsoft Defender risulta disattivato.

Quando a Delpy è stato chiesto se fosse preoccupato per eventuali abusi del suo server di stampa da parte dei criminali informatici il ricercatore ha risposto spiegando che uno dei motivi principali per cui l’ha creato è quello di fare pressione su Microsoft affinché riduca i tempi per la risoluzione completa dei bug più critici come quello relativo allo spooler della stampante.
Il server di stampa di Delpy blocca comunque i tentativi di connessione da indirizzi IP che sembravano abusarne.

Il ricercatore ha aggiunto che lo spooler della stampante di Windows presenterebbe molti altri problemi di sicurezza che saranno svelati nel corso delle nuove edizioni delle conferenze Black Hat e Def Con programmate nei prossimi giorni.

Per proteggersi dall’eventuale utilizzo di server di stampa remoti la soluzione più efficace consiste nel portarsi nell’editor dei criteri di gruppo di Windows (gpedit.msc), cliccare su Configurazione utente, Modelli amministrativi, Pannello di controllo, Stampanti, Pacchetto di selezione e stampa – server approvati quindi selezionare l’opzione Attivata. Qui è possibile specificare gli eventuali server di stampa approvati: l’utilizzo di tutti gli altri sarà automaticamente inibito da parte di Windows.