PrintNightmare e Riposo tranquillo con MyQ

"PrintNightmare" è il nome di una serie di gravi vulnerabilità di sicurezza del servizio Print Spooler di Windows(CVE-2021-34481 e CVE-2021-34527). Sebbene questi problemi siano stati resi noti a metà del 2021, le condizioni che li hanno generati continuano a tormentare i sonni dei sysadmin.

La vulnerabilità PrintNightmare consentiva a qualsiasi utente della rete di un'organizzazione di sfruttare il controller di dominio tramite lo spooler di Windows e di compromettere il dominio Microsoft Active Directory. Consentiva agli aggressori di eseguire codice con i privilegi di sistema, a condizione che disponessero delle credenziali di qualsiasi utente autenticato.

Il servizio Print Spooler di Microsoft è l'intermediario di rete tra le stampanti e i singoli computer. Accetta i lavori di stampa dal computer, si assicura che le risorse della stampante siano disponibili e pianifica l'ordine di accodamento dei lavori di stampa. Per i controller di dominio, il servizio Print Spooler ottiene l'elenco delle stampanti da Active Directory e controlla se il server di stampa è raggiungibile o se la stampante è ancora condivisa.

Sì, lo spooler ha un ruolo importante , ma non è essenziale. Anche se alcune soluzioni di gestione della stampa lo utilizzano ampiamente, è da tempo riconosciuto come un rischio per la sicurezza e Microsoft raccomanda ai controller di dominio e ai sistemi di amministrazione di Active Directory di disabilitare questo servizio quando non è necessario.

C'è il rischio di un'eccessiva condivisione

I problemi dello spooler di Windows sono aumentati in modo esponenziale a causa di una rottura della comunicazione tra i ricercatori di sicurezza e Microsoft. In poche parole, due ricercatori hanno condiviso le loro scoperte - e una prova di concetto - su questa vulnerabilità prima che Microsoft avesse preparato una patch completamente funzionale. I risultati della ricerca sono diventati virali, ma non in modo positivo. Inoltre, Microsoft aveva bisogno di diverse patch, non di una sola, per risolvere la maggior parte dei problemi. Una delle principali misure correttive consisteva nel richiedere agli utenti di avere privilegi amministrativi quando si utilizzava la funzione Punta e stampa per installare i driver di stampa. Ci sono state anche lamentele sulle modalità di implementazione di queste misure.  

State praticando l'informatica sicura? 

La pubblicazione prematura dei ricercatori è stata solo l'inizio visibile del problema. L'incubo di PrintNightmare è stato realmente accelerato a causa della pratica di "unsafe computing" da parte degli amministratori.

"Questo è dovuto alla pratica comune di condividere i driver in rete tramite Microsoft Print Spooler", ha dichiarato Václav Salava, senior support specialist di MyQ. "Lo definirei un comportamento sistemicamente rischioso".

Sebbene il Print Spooler sia stato importante, in quanto noto rischio per la sicurezza, non dovrebbe essere un elemento obbligatorio di qualsiasi software di gestione della stampa. È diventato famoso quando è stato incorporato nel worm Stuxnet come vulnerabilità zero-day CVE-2010-2729. Ricordiamo che anche Microsoft consiglia di disabilitarlo.

Tranquillizzatevi con MyQ

In MyQ non ci sono stati allarmi per i problemi di PrintNightmare e Print Spooler, e questo per due buoni motivi. Innanzitutto, MyQ X non richiede il servizio Print Spooler. In secondo luogo, MyQ incoraggia da tempo i clienti a configurare il proprio ambiente senza condividere il driver di stampa. " Il driver di stampa può essere installato direttamente sui computer client", ha sottolineato Václav. Con MyQ X, questo può essere fatto da un amministratore tramite uno script di gestione per la distribuzione dei driver. Inoltre, i clienti possono utilizzare diversi metodi di stampa senza driver. Queste alternative includono AirPrint, caricamento via web, stampa via e-mail e stampa mobile con il MyQ X Mobile Client.

Per un sogno migliore e più sicuro, mettete a riposo il servizio Print Spooler.

ottenere la sicurezza di myq X