PrintNightmare è un bug di Windows zero-day che consente l’esecuzione di codice remoto. Colpisce tutte le macchine Windows supportate, inclusi gli endpoint e i server. Per ulteriori informazioni sul bug, vi invitiamo a leggere l’articolo su Naked Security.
Non esiste ancora una patch ufficiale per risolvere questo bug, ma, data la sua gravità, prevediamo che Microsoft rilascerà una correzione il prima possibile.
I SophosLabs stanno lavorando con la priorità di generare una protezione per PrintNightmare.
Cosa fare nel frattempo
- Disattiva lo spooler di stampa dove è possibile
- Limita l’accesso ai servizi Print Spooler nel modo più rigoroso possibile su macchine Windows dove non può essere realmente disattivato
- Cerca la patch e applicala alla prima occasione
Come identificare i dispositivi che eseguono lo spooler di stampa
Utilizzo di Sophos EDR e Sophos XDR
I clienti di Sophos EDR e Sophos XDR possono utilizzare Live Discover per eseguire la query seguente e identificare rapidamente su quali dispositivi è in esecuzione il servizio Print Spooler. Se è in esecuzione, il computer è potenzialmente esposto a vulnerabilità prive di patch come PrintNightmare.
SELECT display_name, status, start_type, user_account, CASE WHEN status = 'RUNNING' THEN ' Exposed to unpatched vulnerabilities inc. PrintNightmare' WHEN status = 'STOPPED' THEN ' NOT exposed to unpatched vulnerabilities inc. PrintNightmare' END AS SpoolerCheck, CASE WHEN start_type = 'AUTO_START' THEN 'Set Spooler to DISABLED or DEMAND_START' END AS ServiceCheck FROM services WHERE path = 'C:\Windows\System32\spoolsv.exe';
La tua query dovrebbe essere simile a questa:
Le organizzazioni che utilizzano la protezione Sophos gestita tramite Sophos Central possono attivare Sophos EDR gratuitamente, per 30 giorni, utilizzando la funzione Prove gratuite nella console di Sophos Central.
Utilizzo del comando Windows SC (Service Control)
Per vedere se il servizio Spooler è in esecuzione sul tuo computer, puoi utilizzare il comando Windows SC (Service Control) da un prompt dei comandi Windows, ad es.
C:\Users\duck>sc query spooler
SERVICE_NAME: spooler
TYPE : 110 WIN32_OWN_PROCESS (interactive)
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Puoi impedire allo spooler di avviarsi da solo, anche dopo un riavvio, con:
C:\Users\duck>sc config spooler start= disabled
Nota che non ci deve essere alcuno spazio tra la parola start e il carattere =, ma è necessario uno spazio tra il segno = e la parola disabled.
È necessario avviare il prompt dei comandi (CMD.EXE) come amministratore per riconfigurare i servizi.
Riavvia e dovresti vedere questo:
C:\Users\duck>>sc query spooler
SERVICE_NAME: spooler
TYPE : 110 WIN32_OWN_PROCESS (interactive)
STATE : 1 STOPPED
WIN32_EXIT_CODE : 1077 (0x435)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Aggiorneremo questo articolo con ulteriori informazioni non appena disponibili.
