I ricercatori di sicurezza di Vectra Threat Labs hanno recentemente scoperto una vulnerabilità critica che interessa tutte le versioni di Microsoft Windows a partire da Windows 95. La vulnerabilità consente a un aggressore di eseguire codice a livello di sistema sia su una rete locale che su Internet. Di conseguenza, gli aggressori potrebbero utilizzare questa vulnerabilità sia per infettare un utente finale da Internet, sia per diffondersi attraverso la rete interna.
Vectra e Microsoft hanno collaborato durante l'indagine su questo problema e Microsoft ha fornito una correzione nell'ambito del bollettino sulla sicurezza MS16-087, disponibile qui.
Le vulnerabilità CVE-2016-3238 (MS16-087) e CVE-2016-3239 derivano dal modo in cui gli utenti si connettono alle stampanti in ufficio e tramite Internet. Questa vulnerabilità potrebbe consentire a un hacker relativamente poco esperto di incorporare dispositivi IoT come parte di un attacco e di infiltrarsi rapidamente e diffondersi attraverso una rete senza essere rilevato. Questo blog fornisce una panoramica della vulnerabilità, ma è possibile leggere l'analisi tecnica approfondita qui. Inoltre, è disponibile un video riassuntivo della vulnerabilità qui.
La vulnerabilità in questione riguarda il modo in cui gli utenti della rete individuano e utilizzano le stampanti presenti in rete. È superfluo dire che le organizzazioni moderne hanno spesso molti utenti e, analogamente, dispongono spesso di stampanti di marche e modelli diversi. Gli utenti si aspettano di potersi collegare e utilizzare la stampante più comoda, mentre gli utenti mobili si aspettano di poter entrare in ufficio e stampare.
Per soddisfare le esigenze di questi utenti, le organizzazioni devono trovare un modo per fornire i driver di stampa necessari a chi ne ha bisogno. Anziché inviare tutti i driver possibili a tutti gli utenti, molte reti utilizzano l'approccio Microsoft Web Point-and-Print ( MS-WPRN), che consente a un utente di connettersi a qualsiasi stampante sulla rete e di ricevere il driver appropriato su richiesta dalla stampante o dal server di stampa. Per rendere questo processo il più semplice e fluido possibile, questi driver vengono spesso forniti senza avvisi o attivazioni del Controllo account utente (UAC).
Il problema è che questi driver sono driver a livello di sistema e sono ospitati su stampanti, che di solito non sono ben protette. Quindi, se mettiamo tutto insieme, abbiamo un dispositivo con una protezione debole che comunica con quasi tutti i dispositivi Windows degli utenti finali ed è considerato affidabile per fornire un driver a livello di sistema senza controlli o avvisi. Se non ti stanno venendo i brividi, dovresti iniziare a preoccuparti.
Un aggressore locale sulla rete potrebbe facilmente sostituire il driver valido con un file dannoso. Quando un nuovo utente tenta di connettersi alla stampante, il file dannoso viene consegnato ed eseguito con autorizzazioni a livello di sistema, consegnando di fatto il controllo della macchina all'aggressore. Questo processo potrebbe essere ripetuto all'infinito, infettando ogni nuovo utente che visita il watering hole della stampante.
In che modo un hacker potrebbe inserire il file dannoso nella stampante? Beh, avrebbe diverse opzioni. Le stampanti hanno spesso molti servizi abilitati e in genere non vengono aggiornate con regolarità, quindi trovare una vulnerabilità da sfruttare è abbastanza facile per un hacker esperto. Tuttavia, un approccio ancora più semplice sarebbe quello di provare le credenziali di accesso predefinite, come admin/admin, che potrebbero consentire all'hacker di accedere direttamente alla stampante. In alternativa, un hacker potrebbe creare una stampante falsa da pubblicizzare sulla rete.
Finora potresti sentirti relativamente al sicuro perché tutto ciò presuppone che l'autore dell'attacco sia già presente nella tua rete. Tuttavia, lo stesso meccanismo funziona anche su Internet utilizzando il protocollo Microsoft Internet Printing Protocol e web PointNPrint. Ciò apre la porta a infezioni trasmesse tramite Internet attraverso normali vettori basati sul Web, come siti Web compromessi o annunci pubblicitari. Un piccolo frammento di codice javascript in un annuncio pubblicitario potrebbe facilmente attivare una richiesta a una "stampante" remota che invierebbe quindi il driver dannoso alla vittima. Utilizzando entrambi questi approcci, un aggressore potrebbe sia infettare un utente dall'esterno, sia utilizzare la sua nuova posizione interna per diffondersi lateralmente all'interno della rete.
A partire dal 12 luglio 2016, Microsoft ha fornito una patch per questa vulnerabilità come parte del bollettino sulla sicurezza MS16-087 e si raccomanda vivamente alle organizzazioni di applicare la patch il prima possibile. Questo è anche un esempio dell'importante ruolo che i dispositivi IoT svolgono nella sicurezza della rete. Questi dispositivi possono essere difficili da aggiornare, difficili da monitorare e possono rapidamente diventare un punto cieco persistente per le operazioni di sicurezza. Questo è un buon motivo per monitorare tutto il traffico interno, indipendentemente dal tipo di dispositivo.