SophosLabs Uncut

Vulnerabilità PrintNightmare: ecco cosa fare

PrintNightmare è un bug di Windows zero-day che consente l’esecuzione di codice remoto. Colpisce tutte le macchine Windows supportate, inclusi gli endpoint e i server. Per ulteriori informazioni sul bug, vi invitiamo a leggere l’articolo su Naked Security.

Non esiste ancora una patch ufficiale per risolvere questo bug, ma, data la sua gravità, prevediamo che Microsoft rilascerà una correzione il prima possibile.

I SophosLabs stanno lavorando con la priorità di generare una protezione per PrintNightmare.

Cosa fare nel frattempo

  • Disattiva lo spooler di stampa dove è possibile
  • Limita l’accesso ai servizi Print Spooler nel modo più rigoroso possibile su macchine Windows dove non può essere realmente disattivato
  • Cerca la patch e applicala alla prima occasione

Come identificare i dispositivi che eseguono lo spooler di stampa

Utilizzo di Sophos EDR e Sophos XDR

I clienti di Sophos EDR e Sophos XDR possono utilizzare Live Discover per eseguire la query seguente e identificare rapidamente su quali dispositivi è in esecuzione il servizio Print Spooler. Se è in esecuzione, il computer è potenzialmente esposto a vulnerabilità prive di patch come PrintNightmare.

SELECT display_name, status, start_type, user_account,
CASE
   WHEN status = 'RUNNING' THEN ' Exposed to unpatched vulnerabilities inc. PrintNightmare'
   WHEN status = 'STOPPED' THEN ' NOT exposed to unpatched vulnerabilities inc. PrintNightmare'
   END AS SpoolerCheck,
CASE
   WHEN start_type = 'AUTO_START' THEN 'Set Spooler to DISABLED or DEMAND_START'
   END AS ServiceCheck
FROM services WHERE path = 'C:\Windows\System32\spoolsv.exe';

La tua query dovrebbe essere simile a questa:

 

Clicca per ingrandire

Le organizzazioni che utilizzano la protezione Sophos gestita tramite Sophos Central possono attivare Sophos EDR gratuitamente, per 30 giorni, utilizzando la funzione Prove gratuite nella console di Sophos Central.

Utilizzo del comando Windows SC (Service Control)

Per vedere se il servizio Spooler è in esecuzione sul tuo computer, puoi utilizzare il comando Windows SC (Service Control) da un prompt dei comandi Windows, ad es.

C:\Users\duck>sc query spooler

SERVICE_NAME: spooler
        TYPE               : 110  WIN32_OWN_PROCESS  (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Puoi impedire allo spooler di avviarsi da solo, anche dopo un riavvio, con:

C:\Users\duck>sc config spooler start= disabled

Nota che non ci deve essere alcuno spazio tra la parola  start e il carattere =, ma è necessario uno spazio tra il segno = e la parola disabled.

È necessario avviare il prompt dei comandi (CMD.EXE) come amministratore per riconfigurare i servizi.

Riavvia e dovresti vedere questo:

C:\Users\duck>>sc query spooler

SERVICE_NAME: spooler
        TYPE               : 110  WIN32_OWN_PROCESS  (interactive)
        STATE              : 1  STOPPED
        WIN32_EXIT_CODE    : 1077  (0x435)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Aggiorneremo questo articolo con ulteriori informazioni non appena disponibili.

Lascia un commento

Your email address will not be published.