Vectra® Networks, leader nella gestione automatizzata delle minacce, ha annunciato oggi che i ricercatori del Vectra Threat Labs™ hanno individuato una vulnerabilità critica in Microsoft Windows che consente agli hacker di assumere il controllo a livello di sistema dei computer tramite driver di stampa infetti o contraffatti.
La vulnerabilità deriva da un processo di Windows che consente agli utenti di cercare, aggiungere e utilizzare rapidamente le stampanti a casa, in ufficio e via Internet. Grazie ai controlli a livello di sistema, il malware quindi diffondersi lateralmente da un computer all'altro lungo l'intera rete.
«Questa particolare vulnerabilità consente a un malintenzionato di sfruttare la facilità con cui i computer Windows si connettono alle stampanti in rete», ha affermato Günter Ollmann, CSO di Vectra Networks. «Sebbene la maggior parte dei dispositivi richieda autorizzazioni specifiche da parte dell'utente o dell'amministratore prima che il software venga scaricato su un computer, i driver delle stampanti possono aggirare queste restrizioni».
«Questo rende le stampanti uno dei vettori di minaccia più pericolosi all'interno di una rete», ha proseguito Ollmann. «Anziché infettare gli utenti singolarmente, un hacker può trasformare una stampante in un vero e proprio "watering hole" in grado di infettare ogni dispositivo Windows che vi si connette».
Come funziona
Poiché le stampanti non sono sempre considerate prioritarie per l'applicazione di patch e aggiornamenti di routine, spesso presentano vulnerabilità non risolte che consentono a un malintenzionato di sostituire facilmente un driver di stampa legittimo con uno contenente un payload dannoso.
Una volta installato, il file dannoso viene eseguito con privilegi di sistema che di fatto garantiscono all'autore dell'attacco il pieno controllo del computer. Questo processo potrebbe ripetersi all'infinito, infettando ogni nuovo utente che si connette a quella stampante.
«Inoltre, per sferrare questo attacco non è nemmeno necessaria una stampante fisica», ha affermato Ollmann. «Un malintenzionato potrebbe configurare una stampante fittizia sulla rete e inviare il payload dannoso a qualsiasi utente ignaro che si colleghi ad essa».
Un malintenzionato può anche distribuire un driver di stampa dannoso tramite Internet senza mai accedere alla rete locale. Sfruttando il protocollo IPP (Internet Printing Protocol) o il protocollo MS-WPRN (Microsoft Web Point-and-Print Protocol), un malintenzionato potrebbe diffondere il driver dannoso tramite Internet utilizzando normali vettori basati sul Web, come siti Web compromessi o annunci pubblicitari.
«Questa ricerca evidenzia le numerose possibilità che i dispositivi IoT, come le stampanti, offrono agli hacker», ha affermato Ollmann. «Questi dispositivi vengono raramente sottoposti a verifiche per individuare falle di sicurezza, backdoor o minacce di tipo "watering hole", e rappresentano un punto cieco sempre più diffuso sia per le reti aziendali che per quelle domestiche. Si invitano gli utenti di Microsoft Windows ad applicare immediatamente questa patch critica, poiché è probabile che la vulnerabilità venga sfruttata dagli hacker in breve tempo».
Vectra ha segnalato questa vulnerabilità a Microsoft nell'aprile 2016. Microsoft ha classificato questa vulnerabilità come critica ( MS16-087 , CVE-2016-3238) e ha rilasciato oggi una patch. Si invitano le organizzazioni ad applicare immediatamente la patch ai propri sistemi Windows.
Informazioni su Vectra Threat Labs
In qualità di divisione di ricerca sulle minacce di Vectra Networks, Vectra Threat Labs opera proprio al crocevia tra la ricerca sulla sicurezza e la scienza dei dati. I ricercatori analizzano i fenomeni inspiegabili rilevati nelle reti dei clienti e approfondiscono le indagini per individuare le cause alla base dei comportamenti osservati.
I rapporti e i blog dei Vectra Threat Labs analizzano in dettaglio gli obiettivi degli autori degli attacchi, li inseriscono nel contesto della più ampia campagna da loro condotta e offrono spunti su strategie efficaci per individuare e mitigare le minacce.
Concentrarsi sull'obiettivo di fondo di un aggressore e riflettere sui possibili metodi per raggiungerlo può portare a metodi di rilevamento sorprendentemente efficaci nel lungo periodo. Per segnalare vulnerabilità relative alla nostra piattaforma, inviateci un'e-mail all'indirizzo security@vectranetworks.com.
Informazioni su Vectra Networks
Vectra® Networks è leader nelle soluzioni automatizzate di gestione delle minacce per il rilevamento in tempo reale degli attacchi informatici in corso. La soluzione dell'azienda mette automaticamente in relazione le minacce con gli host sotto attacco e fornisce un contesto unico sulle azioni degli aggressori, consentendo alle organizzazioni di prevenire o mitigare rapidamente le perdite. Vectra assegna la priorità agli attacchi che comportano il rischio maggiore per l'azienda, permettendo alle organizzazioni di decidere rapidamente su dove concentrare tempo e risorse. Nel 2015, Gartner ha nominato Vectra "Cool Vendor" nel settore della sicurezza informatica per aver affrontato le sfide del rilevamento delle minacce post-violazione. Gli American Business Awards hanno inoltre selezionato Vectra come vincitrice del Gold Award per la categoria Tech Startup del 2015. Tra gli investitori di Vectra figurano Khosla Ventures, Accel Partners, IA Ventures, AME Cloud e DAG Ventures. La sede centrale dell'azienda si trova a San Jose, in California, mentre la sede regionale europea è a Zurigo, in Svizzera. Maggiori informazioni sono disponibili all'indirizzo www.vectranetworks.com.
###
Vectra e il logo di Vectra Networks sono marchi registrati, mentre "Security that thinks", "Vectra Threat Labs" e "Threat Certainty Index" sono marchi di Vectra Networks. Gli altri nomi di marchi, prodotti e servizi sono marchi, marchi registrati o marchi di servizio dei rispettivi titolari.
