I ricercatori di sicurezza di Vectra Threat Labs hanno recentemente scoperto una vulnerabilità critica che interessa tutte le versioni di Microsoft Windows, fino a Windows 95. La vulnerabilità consente a un aggressore di eseguire codice a livello di sistema sia su una rete locale che su Internet. Di conseguenza, gli aggressori potrebbero utilizzare questa vulnerabilità sia per infettare un utente finale da Internet, sia per diffondersi attraverso la rete interna.
Vectra e Microsoft hanno collaborato durante l'indagine su questo problema e Microsoft ha fornito una correzione nell'ambito del bollettino di sicurezza MS16-087, disponibile qui.
Le vulnerabilità, CVE-2016-3238 (MS16-087) e CVE-2016-3239, derivano dal modo in cui gli utenti si connettono alle stampanti in ufficio e su Internet. Questa vulnerabilità potrebbe consentire a un aggressore relativamente poco esperto di incorporare dispositivi IoT come parte di un attacco e di infiltrarsi e diffondersi rapidamente in una rete senza essere rilevato. Mentre questo blog fornisce una panoramica della vulnerabilità, è possibile leggere l'analisi tecnica approfondita qui. Inoltre, un video riassuntivo della vulnerabilità è disponibile qui.
La vulnerabilità in questione riguarda il modo in cui gli utenti della rete trovano e utilizzano le stampanti su una rete. Inutile dire che le organizzazioni moderne hanno spesso molti utenti e, allo stesso modo, molte marche e modelli diversi di stampanti. Gli utenti si aspettano di connettersi e utilizzare la stampante più conveniente e, allo stesso modo, gli utenti mobili si aspettano di poter venire in ufficio e stampare.
Per servire questi utenti, le organizzazioni hanno bisogno di un modo per fornire i driver di stampa necessari agli utenti che ne hanno bisogno. Invece di distribuire tutti i driver possibili a tutti gli utenti, molte reti utilizzano l'approccio Microsoft Web Point-and-Print (MS-WPRN) che consente all'utente di connettersi a qualsiasi stampante della rete e alla stampante o al server di stampa di fornire il driver appropriato su richiesta. Per rendere questa operazione il più semplice e continua possibile, questi driver vengono spesso forniti senza avvertire o attivare il controllo dell'account utente (UAC).
Il problema è che questi driver sono a livello di sistema e si trovano nelle stampanti, che di solito non sono ben protette. Quindi, se mettiamo tutto insieme, abbiamo un dispositivo debolmente protetto che parla con quasi tutti i dispositivi Windows dell'utente finale e che si fida di fornire un driver a livello di sistema senza controlli o avvisi. Se i capelli sulla nuca non iniziano a rizzarsi, dovrebbero farlo.
Un aggressore locale in rete potrebbe facilmente sostituire il driver valido con un file dannoso. Quando un nuovo utente tenta di connettersi alla stampante, il file dannoso viene consegnato ed eseguito con le autorizzazioni a livello di sistema, consegnando di fatto il controllo della macchina all'aggressore. Questo processo può essere ripetuto all'infinito, infettando ogni nuovo utente che visita la stampante.
Come può un utente malintenzionato portare il file dannoso in questione sulla stampante? Avrebbe diverse opzioni. Le stampanti hanno spesso molti servizi abilitati e di solito non sono patchate con cura, quindi trovare una vulnerabilità da sfruttare è ragionevolmente facile per un aggressore esperto. Tuttavia, un approccio ancora più semplice sarebbe quello di provare le credenziali di accesso predefinite, come admin/admin, che potrebbero consentire all'aggressore di accedere direttamente alla stampante. In alternativa, un aggressore potrebbe creare una stampante falsa da pubblicizzare sulla rete.
Finora ci si sente relativamente al sicuro, perché tutto ciò presuppone che l'aggressore sia già presente sulla rete. Tuttavia, lo stesso meccanismo funziona su Internet utilizzando il Microsoft Internet Printing Protocol e Web PointNPrint. Questo apre la porta alle infezioni che vengono trasmesse via Internet attraverso normali vettori basati sul Web, come siti Web o annunci pubblicitari compromessi. Un po' di javascript in un annuncio pubblicitario potrebbe facilmente attivare una richiesta a una "stampante" remota che consegnerebbe poi il driver dannoso alla vittima. Utilizzando entrambi questi approcci, un aggressore potrebbe infettare un utente dall'esterno e poi utilizzare la posizione interna appena acquisita per diffondersi lateralmente all'interno della rete.
A partire dal 12 luglio 2016, Microsoft ha fornito una patch per questa vulnerabilità come parte del Security Bulletin MS16-087 e si raccomanda vivamente alle organizzazioni di applicare la patch il prima possibile. È anche un esempio del ruolo importante che i dispositivi IoT svolgono nella postura di sicurezza della rete. Questi dispositivi possono essere difficili da patchare, da monitorare e possono diventare rapidamente un punto cieco persistente per le operazioni di sicurezza. Questo è un buon motivo per monitorare tutto il traffico interno, indipendentemente dal tipo di dispositivo.