Windows, un bug consente alle stampanti di installare malware
Negli scorsi due decenni Windows ha fornito la possibilità di installare malware attraverso un bug presente nel sistema di gestione delle stampanti. Collegando il personal computer a stampanti potenzialmente infette, o altri dispositivi camuffati da stampanti, attraverso una rete locale era possibile esporre qualsiasi sistema con una qualsiasi versione del sistema operativo ad un grave rischio malware. Microsoft ha finalmente corretto il bug all’interno del consueto Patch Tuesday.
Nell’ultimo aggiornamento di Windows 10 (build 10586.494), si trova fra le novità un aggiornamento di sicurezza nel servizio Microsoft Print Spooler. La vulnerabilità di cui parliamo era presente proprio lì, nel servizio che di fatto consente di collegare una stampante al sistema e stampare documenti. Il protocollo Point-and-Print consente di scaricare automaticamente i driver necessari in seguito al collegamento di una stampante ospitata su una rete per la prima volta.
Per funzionare correttamente archivia i file necessari sulla stampante o sul server di stampa, togliendo all’utente il fastidio di dover scaricare e installare manualmente il driver appropriato per i sistemi in uso. L’insidia si celava in questa parte del sistema, e a scoprirla sono stati i ricercatori della firma di sicurezza Vectra Networks i quali affermano che Windows Print Spooler non era in grado di autenticare correttamente i driver delle stampanti quando installati da remoto.
Questo consentiva ad eventuali aggressori esterni di utilizzare tecniche differenti in grado di consegnare al servizio driver modificati, e non quelli legittimi forniti dal produttore. L’exploit consente di trasformare stampanti, server di stampa, o qualsiasi altro dispositivo connesso alla rete camuffato da stampante in una sorta di exploit kit drive-by capace di infettare tutte le macchine collegate alla specifica rete.
“Non solo tale unità è in grado di infettare le macchine collegate sulla tua rete, ma potrebbe essere in grado di infettarle nuovamente più e più volte”, scrive Nick Beaucjesne sul post ufficiale reperibile sul sito di Vectra Networks. “Trovare la causa principale può essere difficile dal momento che la stampante stessa non è solitamente il primo sospetto in casi del genere”.
Microsoft ha già rilasciato una patch all’interno del Patch Tuesday dello scorso martedì, quindi chi utilizza gli ultimi sistemi operativi della società può considerarsi al sicuro. L’exploit tuttavia è attivo da circa 20 anni ed è presente anche sulle versioni più vecchie del sistema operativo, come Windows XP, che non sono più supportate ufficialmente dalla società. Questo lascia esposti milioni di computer in tutto il mondo, soprattutto quelli che gestiscono le reti pubbliche.
Non è facile infatti che un utente esterno possa entrare in casa di altri e collegare un dispositivo esterno alla rete locale, tuttavia la falla espone indubbiamente hotspot pubblici, reti locali di uffici scarsamente sorvegliate e in tutte quelle circostanze in cui è possibile collegare dispositivi esterni senza catturare le attenzioni dei proprietari. In tutti i casi è comunque consigliato aggiornare i dispositivi alle ultime versioni, o installare la patch stand-alone che trovate a questa pagina. (fonte)
