VULNERABILITÀ ZERO-DAY PRINTNIGHTMARE DI MICROSOFT WINDOWS (CVE-2021-34527 )
Panoramica:
È stata rilevata una nuova esecuzione di codice remoto (RCE) nel servizio Spooler di stampa di Microsoft Windows. Questa vulnerabilità è stata indicata pubblicamente come PrintNightmare e assegnata come CVE-2021-34527. Secondo il fornitore, questa vulnerabilità è simile ma distinta dalla vulnerabilità assegnata a CVE-2021-1675. L'exploit che risolve questa vulnerabilità deve coinvolgere un utente autenticato che chiama RpcAddPrinterDriverEx(). Un attacco riuscito che sfrutta questa vulnerabilità può eseguire codice arbitrario con privilegi di SISTEMA. Al momento della stesura di questo articolo, la vulnerabilità viene utilizzata attivamente per attaccare le versioni vulnerabili del servizio Windows Print Spooler.
Soluzioni alternative e protezioni: secondo il fornitore, le seguenti due opzioni sono suggerite come soluzioni alternative:
- Opzione 1 – Disabilitare il servizio Print Spooler
- Opzione 2: disabilitare la stampa remota in entrata tramite Criteri di gruppo
Il sistema di prevenzione delle intrusioni (IPS) di SonicWall offre la possibilità di bloccare questa minaccia bloccando tutte le chiamate del metodo di richiesta AddPrinterDriverEx:
- 15622 Spooler di stampa Richiesta AddPrinterDriverEx
SonicWall rileva inoltre lo sfruttamento di minacce relative a CVE-2021-1675 con la seguente firma IPS:
- 15623 Elevazione del privilegio dello spooler di stampa (CVE-2021-1675)
Nota che le firme sopra funzionano solo per SMBv2. La firma 15622 è impostata su priorità bassa; i clienti devono abilitarlo per la protezione.
Il fornitore ha rilasciato il seguente avviso relativo a questa vulnerabilità:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
|