Urge parlare delle vulnerabiltà PrintNightmare e ProxyShell, perché i sistemi Windows soffrono in questi giorni di due bug gravissimi senza che alcun fix risolutivo venga rilasciato da Microsoft.

Sì, vulnerabilità non risolte. Terribile! Occorre rimediare, ma come fare?

I tempi che stanno intercorcorrendo fra la loro scoperta e il rilascio di una patch sono inaccettabili, visto che questi bug espongono le aziende ad attacchi gravissimi quali compromissione dell’intero sistema informatico, ransomware, furto di dati. Vediamole in dettaglio.

Microsoft Exchange ProxyShell

Microsoft Exchange nelle versioni 2013, 2016, 2019 (quello che si installa presso le aziende) ha una vulnerabilità denominata “ProxyShell” che alla data del 23 agosto non è ancora stata risolta. Cosa fa questo bug? Consente “remote execution” di codice con privilegi elevati.

“Remote execution” significa che un PC che partecipa alla rete aziendale con normali privilegi utente, può, tramite un particolare script, eseguire comandi che lo portano a guadagnare privilegi elevati e a compromettere il sistema Exchange stesso.

Qui si la storia del bug, tutt’ora in corso:

https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit

In Serverlab abbiamo simulato e riprodotto il bug.

E possiamo confermare che le fix rilasciate ad oggi non risolvono il problema.

Mentre scriviamo viene rilasciata una ulteriore fix ancora da testare.

PrintNightmare è davvero un incubo!

Anche questo bug (CVE-2021-36936, CVE-2021-36958) cui sono affetti i Windows Server versioni dal 2012R2 al 2019, consente “Remote execution” con privilegi di System: significa che un PC che partecipa alla rete aziendale con normali privilegi utente, può, tramite script, eseguire comandi che lo portano a guadagnare privilegi elevati e compromettere un Windows Server che abbia il print spooler attivato. Tutti i server hanno il print spooler attivato di default.

Cronistoria di questo bug su cui Microsoft non ha ancora rilasciato una patch risolutiva:

CVE-2021-1675 – Patched June 8, 2021
CVE-2021-34527 – Patched July 7, 2021
CVE-2021-34481 – Patched August 10, 2021
CVE-2021-34483 – Patched August 10, 2021
CVE-2021-36936 – Patched August 10, 2021
CVE-2021-36947 – Patched August 10, 2021
CVE-2021-36958 – Microsoft Advisory August 11, 2021. Mitigations only.

“Mitigation only” significa che, ad oggi, non c’è soluzione ufficiale Microsoft, il Cumulative Update di agosto ha in parte ristretto la superfice di attacco ma l’unica soluzione consigliata da Microsoft è fermare lo spooler (!) come riportato il questo articolo https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

“Executive Summary: A remote code execution vulnerability exists when the Windows Print Spooler service improperly performs privileged file operations. An attacker who successfully exploited this vulnerability could run arbitrary code with SYSTEM privileges. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. The workaround for this vulnerability is stopping and disabling the Print Spooler service.”

Non ci sono articoli piu recenti dell’11 agosto 2021. Dettaglio del bug su CVE Details: https://www.cvedetails.com/cve/CVE-2021-36936/

Quindi, secondo Microsoft, o si ferma il servizio di Print Spooler, o ci si espone ad un bug che consente a qualsiasi client presente in rete e unito al dominio Active Direcotory di ottenere, tramite il lancio di uno script, i privilegi amministrativi su un server di stampa presente in rete.

Cosa può fare l’attaccante a questo punto?

In Serverlab abbiamo simulato e riprodotto l’attacco: su un Windows Server presente in LAN e unito ad A.D. possiamo da un PC ad esempio eseguire aprire, ad esempio, un CMD.EXE con privilegi amministrativi e da lì creare un utente amministratore locale e, se vogliamo, distruggere o infettare quel server.

Il fatto è che è qualsiasi server Windows è un server di rete, purché abbia il Print spooler service acceso.

Come Microsoft dice di intervenire per mitigare il bug CVE-2021-36958

Come afferma Microsoft “Mitigating the CVE-2021-36958 vulnerability” si tratta di mitigare, non risolvere:

“Microsoft has not yet released a security update for this flaw, but states you can remove the attack vector by disabling the Print Spooler. As disabling the Print Spooler will prevent your device from printing, a better method is only to allow your device to install printers from authorized servers. This restriction can be done using the ‘Package Point and print – Approved servers’ group policy, preventing non-administrative users from installing print drivers using Point and Print unless the print server is on the approved list. 

PrintNightmare - Microsoft Exchange ProxyShell

To enable this policy, launch the Group Policy Editor (gpedit.msc) and navigate to User Configuration > Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers. When toggling on the policy, enter the list of servers that you wish to allow to use as a print server, and then press OK to enable the policy. If you do not have a print server on your network, you can enter a fake server name to enable the feature. Using this group policy will provide the best protection against CVE-2021-36958 exploits but will not prevent threat actors from taking over an authorized print server with malicious drivers.”

PrintNightmare - Microsoft Exchange ProxyShell

PrintNightmare: Ecco i consigli di Serverlab

Considerando l’urgenza, la procedura che consigliamo è:

  1. applicare l’ultima Cumulative Update prima di tutto sui Remote Desktop Servers e sui Print Server
  2. applicare la suddetta Group Policy Object (GPO)
  3. su tutti gli altri server: disattivare il servizio di Spooler

Quando Microsoft pubblicherà una FIX risolutiva andrà applicata a tutti i server.

Se hai problemi con PrintNightmare, se anche tu cerchi una soluzione per contenere gli attacchi al print spooling chiamaci.

Condivideremo con te le contromisure che abbiamo adottato.

Sei interessato a quest’argomento?
Compila il modulo e ti ricontatteremo al più presto

Notizie: abbiamo molto da raccontare