E' stata indentificata una vulnerabilita' 0-day in Microsoft Windows Print Spooler
che potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario
su un sistema che ne sia affetto.
L'exploit per questa vulnerabilita' e' disponibile pubblicamente con il nome di PrintNightmare.
:: Software interessato
Windows Active Directory domain controllers
Sistemi che hanno l'opzione NoWarningNoElevationOnInstall di Point and Print configurata.
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
:: Soluzioni
Microsoft ha parzialmente risolto questa vulnerabilita' nell'aggiornamento per CVE-2021-1675 di giugno.
I sistemi che sono configurati per essere domain controller e quelli che hanno Point and Print configurato
con l'opzione NoWarningNoElevationOnInstall, sono ancora vulnerabili. Per questi sistemi e' disponibile un
workaround che mitiga la vulnerabilita':
Stop and disable the print spooler service
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
:: Riferimenti
Microsoft
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
https://www.kb.cert.org/vuls/id/383432
Alert di GARR-CERT Usata per la segnalazione di allarmi di sicurezza e comunicazioni di interesse generale diretti agli enti GARR. L'iscrizione è aperta e consigliata a tutti, il posting è riservato ai membri di GARR-CERT