Home Sicurezza Workaround vulnerabilità remote print server che da pieni privilegi a chiunque

Workaround vulnerabilità remote print server che da pieni privilegi a chiunque

da Alvise C.
0 commenti 4 minutes Leggi

E’ passata nemmeno una settimana dopo che Microsoft ha rilasciato un aggiornamento dedicato alla risoluzione di una vulnerabilità di sicurezza che colpiva proprio lo spooler di stampa, chiamato PrintNightmare.

E’ notizia orma di qualche giorno, purtroppo, che è stato scoperto un altro problema sempre riguardante la stampa, questa volta in modo leggermente diverso.

Print Server Remoto con privilegi SYSTEM

La vulnerabilità, riportata da BleepingComputer, è stata scoperta da Benjamin Delpy, il quale facendo prove sull’exploit del PrintNightmare, si è imbattuto in questa situazione ove aveva creato un print server remoto che installa un driver di stampa ed esegue una DLL con privilegi SYSTEM.

Inizialmente questa DLL andava a scrivere un LOG ove solo gli account con alti privilegi potevano accedere e scrivere, successivamente lo ha modificato eseguendo un comando dal prompt dei comandi come amministratore.

Ecco il video che mostra l’operazione in live:

Come riporta anche BleepingComputer, questo tipo di attacco può essere sfruttato per penetrare dentro la rete aziendale usando computer “periferici” come testa di ponte. Vediamo quindi come mitigare il problema.

Come mitigare il problema?

Disabilitare lo spooler di stampa

Disabilitando lo spooler, ovviamente, non sarà più possibile lanciare stampe o scansioni sul computer. Per farlo eseguire questi comandi da un prompt dei comandi come amministratore (o powershell):

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Disabilitare le porte RCP e SMB

Un ulteriore step potrebbe essere quello di andare a disabilitare le porte che possono venir usate durante l’attacco, ovvero quello dell’RPC e SMB. Per farlo assicurarsi di bloccare le porte 135 TCP per l’RPC e la 139/145 TCP per l’SMB.

La soluzione migliore, invece, è quella di agire sulle policy di gruppo, sia a livello di client che di server.

Impostare Pacchetto di selezione e stampa

Come detto, il metodo di maggior successo e più consigliato, è quello di impostare la policy “Pacchetto di selezione e stampa – server approvati”.

Workaround vulnerabilità remote print server che da pieni privilegi a chiunque

Questo criterio impedisce ad un utente standard (quindi non amministratore) di installare driver di stampa che non siano dal server di stampa impostato nella policy stessa.

Il percorso completo, raggiungibile dal comando gpedit.msc, è:

Configurazione Utente > Modelli amministrativi > Pannello di Controllo > Stampanti >  Pacchetto di selezione e stampa - server approvati 

Via: BC

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.