{"id":25086,"date":"2021-07-09T11:16:48","date_gmt":"2021-07-09T09:16:48","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25086"},"modified":"2022-05-05T12:27:26","modified_gmt":"2022-05-05T10:27:26","slug":"printnightmare-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/printnightmare-vulnerability\/25086\/","title":{"rendered":"PrintNightmare, nuova vulnerabilit\u00e0 all’interno di Windows Print Spooler"},"content":{"rendered":"

Alla fine di giugno scorso, i ricercatori di sicurezza stavano esaminando attivamente una vulnerabilit\u00e0 nel servizio Windows Print Spooler, che hanno soprannominato PrintNightmare. La patch, rilasciata in occasione del Patch Tuesday di giugno, avrebbe dovuto correggere la vulnerabilit\u00e0, e l\u2019ha fatto ma, come accade in genere, il problema ne coinvolgeva un\u2019altra. La patch ha risolto la CVE-2021-1675<\/a> ma non la CVE-2021-34527<\/a>. Su computer o server basati su Windows senza patch, i criminali informatici possono utilizzare le vulnerabilit\u00e0 per ottenere il controllo del dispositivo, dal momento che Windows Print Spooler \u00e8 attivo di default su tutti i sistemi Windows.<\/p>\n

Microsoft usa il nome PrintNightmare per la vulnerabilit\u00e0 CVE-2021-34527 ma non per CVE-2021-1675; tuttavia, molti altri associano questo nome a entrambe le vulnerabilit\u00e0.<\/p>\n

I nostri esperti hanno studiato entrambe le vulnerabilit\u00e0 in dettaglio e si sono assicurati che Kaspersky security solutions<\/a> con la sua tecnologia di prevenzione degli exploit<\/a> e la protezione basata sul comportamento<\/a>, impedisca i tentativi di sfruttarle.<\/p>\n

Perch\u00e8 PrintNightmare \u00e8 pericolosa<\/h2>\n

PrintNightmare \u00e8 considerata una vulnerabilit\u00e0 estremamente pericolosa per due motivi principali. In primo luogo, essendo Windows Print Spooler\u00a0 di default su tutti i sistemi Windows, compresi i controller di dominio e i computer con privilegi di amministratore di sistema, rende tutti questi computer vulnerabili.<\/p>\n

In secondo luogo, un malinteso tra team di ricercatori (e, forse, un semplice errore) ha portato alla pubblicazione online<\/a> di un exploit proof-of-concept<\/a> per PrintNightmare. I ricercatori coinvolti erano abbastanza sicuri che la patch di giugno di Microsoft avesse gi\u00e0 risolto il problema, quindi hanno condiviso il loro lavoro con la comunit\u00e0 di esperti. Tuttavia, l\u2019exploit costituiva comunque un pericolo. Il PoC \u00e8 stato rapidamente rimosso, ma non prima che in molti lo copiassero, motivo per cui gli esperti di Kaspersky prevedono un aumento dei tentativi di sfruttare PrintNightmare.<\/p>\n

Le vulnerabilit\u00e0 e il loro uso<\/h2>\n

CVE-2021-1675<\/a> \u00e8 una vulnerabilit\u00e0 di elevazione dei privilegi<\/a>. Permette a un criminale informatico con privilegi di accesso minimi di creare e utilizzare un file DLL dannoso per eseguire un exploit e ottenere privilegi pi\u00f9 elevati. Tuttavia, questo \u00e8 possibile solo se il cybercriminale ha gi\u00e0 accesso diretto al computer vulnerabile in questione. Microsoft considera questa vulnerabilit\u00e0 dal rischio relativamente basso.<\/p>\n

La vulnerabilit\u00e0 CVE-2021-34527<\/a>, invece, \u00e8 significativamente pi\u00f9 pericolosa: anche se simile, \u00e8 una vulnerabilit\u00e0 RCE<\/a> (Remote Code Execution), il che significa che permette l\u2019esecuzione remota di DLL. Microsoft ha gi\u00e0 visto exploit di questa vulnerabilit\u00e0 in rete, e Securelist fornisce<\/a> una descrizione tecnica pi\u00f9 dettagliata di entrambe le vulnerabilit\u00e0 e delle loro tecniche di sfruttamento.<\/p>\n

Poich\u00e9 i cybercriminali possono utilizzare PrintNightmare per accedere ai dati nelle infrastrutture aziendali, possono anche utilizzare l\u2019exploit per attacchi ransomware.<\/p>\n

Come proteggere la vostra infrastruttura da PrintNightmare<\/h2>\n

Il primo passo per proteggersi dagli attacchi di PrintNightmare \u00e8 installare entrambe le patch, di giugno e luglio, da Microsoft. Quest\u2019ultima pagina fornisce anche alcuni workaround di Microsoft nel caso in cui non si possa fare uso delle patch, e uno di questi non richiede nemmeno la disabilitazione di Windows Print Spooler.<\/p>\n

Detto questo, suggeriamo caldamente di disabilitare Windows Print Spooler<\/a>\u00a0sui computer che non ne hanno bisogno. In particolare, \u00e8 altamente improbabile che i controller di dominio abbiano bisogno della stampante.<\/p>\n

Inoltre, tutti i server e i computer hanno bisogno di soluzioni affidabili per la sicurezza degli endpoint<\/a> che impediscano i tentativi di sfruttamento delle vulnerabilit\u00e0 note e non ancora conosciute, tra cui PrintNightmare.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Aggiornate immediatamente tutti i sistemi Windows per applicare la patch per le vulnerabilit\u00e0 CVE-2021-1675 e CVE-2021-34527 nel servizio Windows Print Spooler.<\/p>\n","protected":false},"author":2706,"featured_media":25087,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[74,584,23,3548],"class_list":{"0":"post-25086","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-aggiornamenti","11":"tag-vulnerabilita","12":"tag-windows","13":"tag-zeroday"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/printnightmare-vulnerability\/25086\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/printnightmare-vulnerability\/23044\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/printnightmare-vulnerability\/18526\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/printnightmare-vulnerability\/9266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/printnightmare-vulnerability\/24996\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/printnightmare-vulnerability\/23004\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/printnightmare-vulnerability\/22297\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/printnightmare-vulnerability\/25616\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/printnightmare-vulnerability\/31025\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/printnightmare-vulnerability\/9814\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/printnightmare-vulnerability\/40520\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/printnightmare-vulnerability\/17307\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/printnightmare-vulnerability\/17782\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/printnightmare-vulnerability\/15021\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/printnightmare-vulnerability\/27047\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/printnightmare-vulnerability\/31190\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/printnightmare-vulnerability\/27276\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/printnightmare-vulnerability\/24088\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/printnightmare-vulnerability\/29420\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/printnightmare-vulnerability\/29212\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25086","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=25086"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25086\/revisions"}],"predecessor-version":[{"id":25132,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25086\/revisions\/25132"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/25087"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=25086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=25086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=25086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}