What are you Looking for?
What are you Looking for?
Aggiornamento – 07-07-2021
Microsoft sembra aver rilasciato una patch, al link sottostante troverete le KB divise per Sistema Operativo
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Aggiornamento – 05-07-2021
I nostri tecnici hanno già iniziato la procedura di fixing sui clienti in cui gestiamo autonomamente il patch-management, siamo comunque a disposizione per aiutarvi a mettere in sicurezza i vostri dispositivi.
Vulnerabilità PrintNightmare
Microsoft nei giorni scorsi si è accorta che qualcuno stava sfruttando una falla mail scoperta, falla zero day, del Print Spooler di Windows (identificata con la sigla CVE-2021-34527).
Come evidenziato da alcune indagini avviate dai ricercatori, a far difetto sarebbe un bug riconducibile dentro al servizio Windows Print Spooler, vale a dire la piattaforma software del sistema operativo alla quale è demandata la gestione dell’intero processo di stampa. In particolare, il codice dell’exploit prenderebbe il nome di PrintNightMare: i malintenzionati avrebbero realizzato degli specifici malware che sfruttano il bug e squarciano la sicurezza dei PC.
Microsoft ha confermato che il bug sarebbe già stato sfruttato attivamente dagli hacker, sebbene manchino ancora informazioni precise sul numero di utenti coinvolti.
Allo stato attuale non c’è un fix risolutivo ed è per questo che sarà necessario attendere nuovi aggiornamenti correttivi rilasciati da Microsoft, a questo punto in predicato di debuttare già durante i prossimi giorni. Si potrebbe anche decidere di disabilitare spoolsv.exe dai sistemi server, ma così facendo si perderà completamente ogni possibilità di stampare.
Una precisione è d’obbligo: il Print Spooler è quel sistema che permette ad un computer di funzionare come server di stampa memorizzando in coda le stampe inviate dagli utenti e stampandole quindi in ordine, e solitamente viene usato sulle versioni server di Windows tuttavia anche le versioni classiche hanno lo spooler attivato di default.
Workaround:
Mirosoft ha diramato alcune indicazioni per mitigare il problema in attesa di un patch, con due diverse soluzioni. La prima è quella che prevede la disabilitazione totale dello Spooler tramite comando PowerShell, quindi la chiusura e il blocco dell’avvio automatico al restart.
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
La seconda procedura è indicata a chi vuole ugualmente stampare in locale, ma vuole solo impedire la stampa remota da altri sistemi: si deve entrare nelle policy di gruppo, template di amministrazione, stampanti e disabilitare “Permetti allo spooler di stampa di accettare connessioni remote”.
Riferimenti
