PrintNightmare è un bug di Windows zero-day che è in grado di consentire l’esecuzione di codice da remoto (Vulnerabilità nota come “remote code execution”) ed ha la capacità di colpire tutti i dispositivi Windows supportati (Workstation e Server).
Qualcosa di veramente pericoloso se pensiamo che i pirati informatici possono sfruttarlo per distribuire malware da remoto. PrintNightmare è, quindi, il protagonista indiscusso dell’emergenza del momento in tema di sicurezza informatica. La gravità di questo bug deriva sia dal modo in cui è comparso sia dalle difficoltà che la stessa Microsoft sta avendo per correggerla.
Il problema è stato definito dagli esperti un vero e proprio uragano perfetto.
Perché? Beh, tutto quello che poteva andare storto è capitato. La pubblicazione dei dettagli sulla vulnerabilità e la scarsa reattività di Microsoft ha creato una forte incomprensione con le società di sicurezza che, avendo visto una doppia catalogazione del bug (CVE-2021-1675 – CVE-2021-34527), hanno pensato che la falla fosse stata corretta con una patch adeguata già dal mese di giugno.
Purtroppo così non è stato e tutti i dettagli sulla vulnerabilità erano pubblici senza che ci fosse una patch adeguata che risolvesse il problema. La situazione è peggiorata ulteriormente quando, proprio negli ultimi giorni, si è appresa la notizia che la patch rilasciata da Microsoft a giugno non era in grado di correggere questo bug.
Ad oggi Microsoft ha diramato la notizia che, almeno per i Server (2012 e 2016) e per windows 10, sarebbe stata inviata una patch per arginare PrintNightmare ma per i restanti sistemi operativi bisogna intervenire direttamente sulle impostazioni di ogni dispositivo manualmente. Inoltre pare che questa patch comunque non basti per risolvere il problema che può comunque essere aggirato installando driver di stampa compromessi.
Una vera disgrazia per tutte quelle aziende che al loro interno non hanno un sistema di gestione della sicurezza efficace, efficiente e centralizzato e che si trovano obbligati a gestire il problema in modo frammentato e senza controllo, aprendo una grossa falla ed esponendo le proprie reti ad attacchi informatici.
Cosa fare finché non verrà rilasciata una patch adeguata?
- Disattivare lo spooler di stampa
- Limitare l’accesso ai servizi Print Spooler sui dispositivi Microsoft ai soli amministratori
- Disabilitare la chiave di registro (mettere a 0) NoWarningNoElevationOnInstall di Point and Print
- Applicare il prima possibile la patch (quando sarà disponibile)
- Dotarsi di un sistema di sicurezza centralizzato e di un firewall periferico per impedire gli accessi dall’esterno
In conclusione, questa vicenda ancora in corso è la dimostrazione lampante di ciò che diciamo incessantemente: innovare i propri sistemi e dotarsi di sistemi di sicurezza sincronizzata è il passo fondamentale che ogni azienda deve fare per garantire la sicurezza dei propri dati e preservare il proprio business.