Microsoft: la patch PrintNightmare funziona

Microsoft: la patch PrintNightmare funziona

Microsoft ha confermato che la patch per la vulnerabilità PrintNightmare funziona correttamente, ma solo con i valori corretti delle chiavi di registro.
Microsoft ha confermato che la patch per la vulnerabilità PrintNightmare funziona correttamente, ma solo con i valori corretti delle chiavi di registro.

Microsoft ha pubblicato un chiarimento in merito alla patch per la vulnerabilità scoperta nel Windows Print Spooler. Alcuni ricercatori di sicurezza avevano evidenziato che il fix poteva essere bypassato dall'exploit. L'azienda di Redmond ha confermato l'efficacia della soluzione, specificando anche la corretta configurazione della funzionalità Point and Print (Seleziona e Stampa).

PrintNightmare: patch funzionante

La patch per la vulnerabilità CVE-2021-34527 è disponibile per tutte le versioni di Windows, incluse quelle non più supportate, come Windows 7. Il bug può essere sfruttato per eseguire codice remoto con privilegi SYSTEM e quindi una serie di azioni, tra cui installazione di programmi, cancellazione dei dati e creazione di account con diritti di amministratore. Alcuni ricercatori di sicurezza aveva pubblicato i dettagli della vulnerabilità, pensando erroneamente che fosse stata risolta con la patch dell'8 giugno, riferita però ad un problema simile (CVE-2021-1675).

Microsoft ha quindi deciso di rilasciare un aggiornamento “out-of-band” senza attendere il prossimo Patch Tuesday (13 luglio). L'installazione dell'update, che include anche il fix per CVE-2021-1675, non è tuttavia sufficiente per essere al sicuro. È infatti necessario verificare alcune impostazioni del registro di sistema relative alla funzionalità Point and Print.

Dopo aver installato la patch, l'utente deve controllare i valori di alcune chiavi di registro. Il valore delle DWORD NoWarningNoElevationOnInstall e UpdatePromptSettings in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint deve essere 0 o non definito. Se queste chiavi non esistono, il sistema non è vulnerabile.

Sui computer che funzionano come server di stampa devono essere anche impostate due restrizioni per la funzionalità Point and Print mediante l'editor dei criteri di gruppo locale (gpedit.msc). La voce “Restrizioni di selezione e stampa” in Configurazione computer > Modelli amministrativi > Stampanti deve essere attivata e per le opzioni “Quando si installano i driver per una nuova connessione” e “Quando si aggiornano i driver per una connessione esistente” si deve selezionare “Mostra avvisi e richieste di elevazione dei privilegi“.

Restrizioni selezione e stampa

Microsoft ha infine confermato che alcune stampanti non funzionano più dopo aver installato la patch. Il problema è stato risolto tramite Known Issue Rollback (KIR).

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

09 07 2021
Link copiato negli appunti