“Ehi, Microsoft abbiamo un problema! Molti di noi vorrebbero fare clic sul pulsante stampa all’interno delle applicazioni aziendali, stampare un disegno, inviare un documento alla stampante PDF. Microsoft negli ultimi mesi ci hai reso quasi impossibile fare questa operazione in sicurezza.“
Citazione simpatica per introdurre un problema grave che non ci ha fatto dormire sonni tranquilli, negli ultimi due mesi. In Serverlab, infatti, abbiamo seguito con apprensione i problemi legati alle recenti vulnerabiltà Microsoft denominate PrintNightmare. Si tratta di minacce particolarmente pericolose dovute ad un bug di Microsoft scoperto all’interno del servizio di Print Spooler. Queste vulnerabiltà consentono ad un ignoto attaccante, dall’interno della rete aziendale, di eseguire codice malevolo con permessi di amministratore sui server ed i client dell’azienda.
Per una di queste vulnerabilità lo scorso 10 agosto Microsoft ha rilasciato una fix da 1,6 GB molto impattante nei sistemi operativi Windows. Per l’altra vulnerabilità sembrava fosse arrivata la soluzione definitiva lo scorso 14 settembre. Microsoft infatti con un tempismo di “soli” 35 giorni ha risolto il problema delle vulnerabilità PrintNightmare CVE-2021-40444 sia lato server che pc.
Pensavamo di poter finalmente dormire sogni tranquilli ma diversi amministratori di sistema hanno iniziato a segnalare problemi di stampa di rete su larga scala, questo dopo aver installato gli aggiornamenti di sicurezza indicati. In pratica Microsoft non ha risolto il problema, ha solo deciso che l’utente non può più fare operazioni pericolose. L’operazione pericolosa è: installare la stampante o aggiornare i driver!!!
Per questa ragione, se la versione del file del driver del server e del client non coincidono, l’utente non può fare l’aggiornamento del proprio driver perchè gli vengono richiesti i diritti di amminstratore. In pratica la soluzione di Microsoft è che l’utente non può più installarsi la stampante.
Gli aggiornamenti di sicurezza per PrintNightmare
Il 14 Settembre Microsoft ha rilasciato circa 60 fix di sicurezza per Windows, fra questi ha rilasciato anche la patch relativa agli aggiornamenti che risolvono le vulnerabilità che riguarda lo spooler di stampa, meglio conosciuto come PrintNightmare. Gli aggiornamenti legati a PrintNightmare e ai successivi problemi di stampa di rete sono i seguenti:
- KB5005568 (Windows Server 2019)
- KB5005613 (Windows Server 2012 R2)
- KB5005627 (Windows Server 2012 R2)
- KB5005623 (Windows Server 2012)
- KB5005607 (Windows Server 2012)
- KB5005606 (Windows Server 2008)
- KB5005618 (Windows Server 2008)
- KB5005565 (Windows 10 2004, 20H2, and 21H1)
- KB5005566 (Windows 10 1909)
- KB5005615 (Windows 7 Windows Server 2008 R2)
PrintNightmare Patch: quando le correzioni causano problemi significativi
Quindi nonostante la nota di Microsoft sia motivante ad agire il prima possibile. Gli utenti di Windows che hanno fatto quanto chiesto, hanno iniziato a riempire i forum di Microsoft.
“Microsoft has released security updates to address this vulnerability. Please see the Security Updates table for the applicable update for your system. We recommend that you install these updates immediately. Please see the FAQ for important information about which updates are applicable to your system.”
Errori durante il tentativo di stampa, Windows che chiede una password admin per aggiornare i driver della stampante. L’unica soluzione per riuscire a stampare nuovamente? Rimuovere gli aggiornamenti.
Ok, Microsoft ora dobbiamo parlare anzi … stampare
Ok Microsoft, devi fare meglio di quello che stai facendo ora, i tempi intercorsi fra la scoperta e il rilascio delle patch sono inaccettabili. Questi bug hanno esposto le aziende ad attacchi gravissimi, come ransomware, furto di dati e ora ci impedisci anche di stampare…
Vuoi saperne di più su cosa è accaduto negli ultimi due mesi sulle vulnerabità PrintNightmare? Le trovi in questa news di @davidegalanti che il 25 agosto scorso ha fatto il punto della situazione: Vulnerabilità PrintNightmare su Windows Server e ProxyShell su Exchange
