Vectra Networks scopre una vulnerabilità critica di Microsoft Windows che consente agli attacchi printer watering hole di diffondere Malware

Vectra® Networks, leader nella gestione automatizzata delle minacce, ha annunciato oggi che i ricercatori dei Vectra Threat Labs™ hanno scoperto una vulnerabilità critica in Microsoft Windows che consente agli aggressori di ottenere il controllo a livello di sistema sui computer tramite driver di stampa infetti o falsi.

La vulnerabilità deriva da un processo Windows che consente agli utenti di cercare, aggiungere e utilizzare rapidamente stampanti a casa, in ufficio e su Internet. Dotato di controlli a livello di sistema, il malware quindi diffondersi lateralmente da un computer all'intero network.

"Questa particolare vulnerabilità consente a un malintenzionato di sfruttare la facilità con cui i computer Windows si connettono alle stampanti in rete", ha affermato Günter Ollmann, CSO di Vectra Networks. "Sebbene la maggior parte dei dispositivi richieda un'autorizzazione specifica da parte dell'utente o dell'amministratore prima di scaricare il software su un computer, i driver delle stampanti possono aggirare queste restrizioni".

"Questo rende le stampanti uno dei vettori di minaccia più potenti in una rete", ha continuato Ollmann. "Anziché infettare gli utenti individualmente, un aggressore può trasformare efficacemente una stampante in un punto di contagio che infetterà ogni dispositivo Windows che entra in contatto con essa".

Come funziona

Poiché le stampanti non sono sempre considerate prioritarie per l'applicazione di patch e aggiornamenti di routine, spesso presentano vulnerabilità aperte che consentono a un malintenzionato di sostituire facilmente un driver di stampa legittimo con uno contenente un payload dannoso.

Una volta installato, il file dannoso viene eseguito con autorizzazioni a livello di sistema che consentono all'autore dell'attacco di ottenere il controllo totale del computer. Questo processo può ripetersi all'infinito, infettando ogni nuovo utente che si connette a quella stampante.

"Inoltre, questo attacco non richiede nemmeno una stampante fisica per essere lanciato", ha affermato Ollmann. "Un hacker potrebbe configurare una stampante falsa sulla rete e inviare il payload dannoso a qualsiasi utente ignaro che si connette ad essa".

Un malintenzionato può anche distribuire un driver di stampa dannoso tramite Internet senza mai accedere alla rete locale. Sfruttando il protocollo IPP (Internet Printing Protocol) o MS-WPRN (Microsoft Web Point-and-Print Protocol), un malintenzionato potrebbe distribuire il driver dannoso tramite Internet utilizzando normali vettori basati sul Web, come siti Web compromessi o annunci pubblicitari.

"Questa ricerca sottolinea le numerose possibilità che i dispositivi IoT, come le stampanti, offrono agli hacker", ha affermato Ollmann. "Tali dispositivi vengono raramente valutati in termini di falle di sicurezza, backdoor o minacce di tipo watering hole e rappresentano un punto cieco sempre più importante sia per le reti aziendali che per quelle domestiche. Gli utenti di Microsoft Windows sono invitati ad applicare immediatamente questa patch critica, poiché la vulnerabilità potrebbe essere sfruttata dagli hacker in breve tempo".

Vectra ha segnalato questa vulnerabilità a Microsoft nell'aprile 2016. Microsoft ha classificato questa vulnerabilità come critica MS16-087 (CVE-2016-3238) e ha rilasciato oggi una patch. Si invitano le organizzazioni ad applicare immediatamente la patch ai propri sistemi Windows.

Informazioni su Vectra Threat Labs

In qualità di divisione di ricerca sulle minacce di Vectra Networks, Vectra Threat Labs opera all'intersezione tra ricerca sulla sicurezza e scienza dei dati. I ricercatori analizzano i fenomeni inspiegabili osservati nelle reti dei clienti e approfondiscono la questione per individuare le cause alla base dei comportamenti osservati.

I rapporti e i blog dei Vectra Threat Labs si concentrano sugli obiettivi degli aggressori, li collocano nel contesto della più ampia campagna che questi ultimi stanno conducendo e forniscono approfondimenti sui modi duraturi in cui è possibile rilevare e mitigare le minacce.

Concentrarsi sull'obiettivo sottostante di un aggressore e riflettere sui possibili metodi per raggiungerlo può portare a metodi di rilevamento sorprendentemente efficaci per lunghi periodi di tempo. Per segnalare vulnerabilità relative alla nostra piattaforma, inviateci un'e-mail all'indirizzo security@vectranetworks.com.

Informazioni su Vectra Networks

Vectra® Networks è leader nelle soluzioni automatizzate di gestione delle minacce per il rilevamento in tempo reale degli attacchi informatici in corso. La soluzione dell'azienda correla automaticamente le minacce contro gli host sotto attacco e fornisce un contesto unico sulle azioni degli aggressori, consentendo alle organizzazioni di prevenire o mitigare rapidamente le perdite. Vectra assegna la priorità agli attacchi che rappresentano il rischio maggiore per l'azienda, consentendo alle organizzazioni di prendere decisioni rapide su dove concentrare tempo e risorse. Nel 2015, Gartner ha nominato Vectra "Cool Vendor" nella categoria Security Intelligence per aver affrontato le sfide del rilevamento delle minacce post-violazione. L'American Business Awards ha inoltre selezionato Vectra come vincitore del Gold Award per la Tech Startup del 2015. Tra gli investitori di Vectra figurano Khosla Ventures, Accel Partners, IA Ventures, AME Cloud e DAG Ventures. La sede centrale dell'azienda si trova a San Jose, in California, mentre la sede regionale europea è a Zurigo, in Svizzera. Maggiori informazioni sono disponibili all'indirizzo www.vectranetworks.com.

###

Vectra e il logo Vectra Networks sono marchi registrati, mentre Security that thinks, Vectra Threat Labs e Threat Certainty Index sono marchi commerciali di Vectra Networks. Altri nomi di marchi, prodotti e servizi sono marchi commerciali, marchi registrati o marchi di servizio dei rispettivi proprietari.