Microsoft dice agli utenti di disattivare lo spooling della stampante per proteggersi dagli exploit zero-day

Microsoft ha emesso una serie di misure di mitigazione contro un exploit zero-day che la società tecnologica afferma che "gli aggressori stanno attivamente sfruttando".

L'exploit del giorno zero, noto come StampaIncubo, sfrutta una vulnerabilità nello spooler di stampa di Windows e potrebbe consentire a un utente malintenzionato di eseguire codice in remoto.

Sebbene non vi sia alcuna correzione specifica per PrintNightmare, l'avviso di Microsoft contiene due opzioni che gli utenti possono implementare per proteggere il proprio sistema da exploit potenzialmente pericolosi.

PrintNightmare è il lavoro di stampa dall'inferno

Lo spooler di stampa è un servizio software di Windows che gestisce i processi di stampa del sistema. Quando si stampa, lo spooler prende il lavoro di stampa in arrivo dal software (o dal sistema operativo) e garantisce che la stampante e le sue risorse (carta, inchiostro, ecc.) siano pronte per l'azione. Quando si inviano più lavori di stampa, lo spooler li accoda e gestisce l'output della stampante.

Il servizio spooler di stampa ha accesso all'intero sistema. Anche se sembra innocuo, può rendere un tale servizio un obiettivo per gli aggressori che cercano di attaccare le risorse con privilegi a livello di sistema.

In questo caso, la società di sicurezza cinese Sangfor ha pubblicato accidentalmente un exploit proof-of-concept per a attacco zero-day alla sua pagina GitHub. La società ha immediatamente estratto il codice, ma non prima che fosse biforcuto e copiato in natura.

PrintNightmare, tracciato come CVE-2021-34527, è una vulnerabilità legata all'esecuzione di codice in modalità remota. Ciò significa che se un utente malintenzionato dovesse sfruttare la vulnerabilità, potrebbe teoricamente eseguire codice dannoso su un sistema di destinazione. Sebbene tu possa essere l'obiettivo principale di un simile exploit, miliardi di computer e server in tutto il mondo utilizzano Microsoft Print Spooler, motivo per cui PrintNightmare sta causando tali problemi.

Relazionato: Il miglior software antivirus gratuito

Microsoft consiglia cautamente di disabilitare il servizio spooler di stampa

Fino a quando non viene trovata una correzione specifica, Microsoft consiglia utenti, aziende e organizzazioni a disabilitare il servizio Print Spooler su qualsiasi server che non lo richieda.

Esistono due modi in cui le organizzazioni possono disabilitare il servizio Spooler di stampa: tramite PowerShell o tramite Criteri di gruppo.

PowerShell

1. Aperto PowerShell.
2. Ingresso Stop-Service -Name Spooler -Force
3. Ingresso Set-Service -Name Spooler -StartupType Disabled

Politica di gruppo

1. Apri il Editor criteri di gruppo(gpedit.msc)
2. Sfoglia per Configurazione computer/Modelli amministrativi/Stampanti
3. Trova il Consenti allo spooler di stampa di accettare le connessioni client client politica
4. Impostato Disattiva > Applica

Microsoft non è l'unica organizzazione che consiglia agli utenti di disattivare i servizi di spooling di stampa ove possibile. anche CISA rilasciato una dichiarazione che consiglia una politica simile, incoraggiando "gli amministratori a disabilitare il servizio spooler di stampa di Windows nei controller di dominio e nei sistemi che non stampano".

Sebbene Microsoft stia ripubblicando questo consiglio su PrintNightmare, l'azienda consiglia questa politica in ogni momento per proteggersi da intrusioni impreviste tramite questo metodo. La disattivazione del servizio Spool di stampa tramite Criteri di gruppo è il modo migliore per garantire la sicurezza a livello di dominio.

Comprensione del malware: 10 tipi comuni che dovresti conoscere

Scopri i tipi comuni di malware e le loro differenze, così puoi capire come funzionano virus, trojan e altri malware.

Leggi Avanti

Circa l'autore