Untitled 1 Responsive Flat Dropdown Menu Demo
345.10.21.980      Ennegitech di Novello Giorgio       info@ennegitech.com  
   
Agenzia Web  
Siti Internet
Database

Un server di stampa remoto permette di acquisire privilegi SYSTEM in Windows

Un ricercatore allestisce un server di stampa che permette a qualunque utente di acquisire istantaneamente i diritti SYSTEM su qualsiasi macchina Windows.
Lo scorso giugno ha fatto scalpore la scoperta di una grave vulnerabilità nello spooler della stampante di Windows, sia lato server che lato client.

Il problema di sicurezza, sfruttabile da eventuali malintenzionati, può essere utilizzato per acquisire privilegi più elevati ed eseguire qualunque comando sulla macchina con i diritti dell'account SYSTEM utilizzato dal sistema operativo e dai servizi eseguiti in Windows.

La vulnerabilità battezzata PrintNightmare è stata dapprima corretta con il rilascio di un aggiornamento out-of-band. Successivamente, con il "patch day" di luglio, Microsoft ha pubblicato nuovi aggiornamenti correttivi.

Gli esperti di sicurezza hanno fatto notare che le correzioni messe a disposizione da Microsoft sono "parziali" e non risolvono completamente il problema.

Per rafforzare questa tesi il ricercatore Benjamin Delpy ha allestito un server di stampa accessibile da remoto che permette di acquisire i privilegi SYSTEM su qualunque macchina Windows aggiornata con le ultime patch di Microsoft.

Delpy descrive il suo lavoro come un esempio di "user-to-system-as-a-service": l'utente non deve fare altro che aggiungere la stampante di rete accessibile all'indirizzo pubblico predisposto da Delpy: si aprirà automaticamente il prompt dei comandi con i diritti SYSTEM. Basterà verificarlo digitando il comando whoami.

L'unico baluardo contro eventuali utilizzi da parte di malintenzionati resta Microsoft Defender: il software per la sicurezza installato in Windows è infatti in grado di riconoscere e neutralizzare l'attacco zero-day. Il prompt dei comandi si apre infatti se e solo se Microsoft Defender risulta disattivato.

 
Quando a Delpy è stato chiesto se fosse preoccupato per eventuali abusi del suo server di stampa da parte dei criminali informatici il ricercatore ha risposto spiegando che uno dei motivi principali per cui l'ha creato è quello di fare pressione su Microsoft affinché riduca i tempi per la risoluzione completa dei bug più critici come quello relativo allo spooler della stampante.

Il server di stampa di Delpy blocca comunque i tentativi di connessione da indirizzi IP che sembravano abusarne.

 

© 2015-2020 EnnegiTech di Novello Giorgio. Tutti i diritti riservati.
e-Mail: gio.nov@outlook.com  Tel: 345.10.21.980
Via San Romolo, 29/7 - 16157 Genova (GE)
P.I.: 01195440993

Sviluppato da Ennegitech su MFKit 2001