Nonostante i numerosi tentativi di Microsoft per patchare con successo PrintNightmare, non è ancora finita. Ora, è stata scoperta un’altra vulnerabilità di PrintNightmare Print Spooler di Windows 10 ed è attirare ransomware aggressori alla ricerca di un facile accesso ai privilegi di sistema.
Microsoft ha rilasciato più patch nei mesi di luglio e agosto per affrontare la vulnerabilità e ha modificato il processo con cui gli utenti possono installare nuovi driver della stampante. Tuttavia, i ricercatori hanno ancora trovato una soluzione per lanciare un attacco tramite una nuova vulnerabilità dello spooler di stampa, denominata CVE-2021-36958.
Da un post nel Microsoft Security Response Center, Microsoft descrive la vulnerabilità:”Si verifica una vulnerabilità legata all’esecuzione di codice in modalità remota quando il servizio Windows Print Spooler esegue in modo improprio operazioni sui file con privilegi. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe eseguire codice arbitrario con privilegi SYSTEM. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.”
Microsoft elenca anche la soluzione alternativa per la vulnerabilità come”interruzione e disattivazione del servizio Print Spooler”. L’autore dell’attacco avrà bisogno dei privilegi di amministratore per installare i driver della stampante necessari; se è già installato un driver, tuttavia, tali privilegi non sono necessari per collegare una stampante. Inoltre, non è necessario installare i driver sui client, quindi la vulnerabilità rimane, beh, vulnerabile in tutti i casi in cui un utente si connette a una stampante remota.
Gli aggressori ransomware, naturalmente, stanno sfruttando appieno il exploit, secondo Bleeping Computer. Magniber, un gruppo di ransomware, è stato recentemente segnalato da CrowdStrike come scoperto nel tentativo di sfruttare le vulnerabilità prive di patch contro le vittime della Corea del Sud.
Non si sa ancora, né da Microsoft né da altre parti, se la vulnerabilità di PrintNightmare sia a portata di mano. Infatti, CrowdStrike stima“che la vulnerabilità di PrintNightmare unita all’implementazione di il ransomware continuerà probabilmente a essere sfruttato da altri attori delle minacce.”
tramite Windows Central