La nuova minaccia informatica per tutti (ma proprio tutti) i sistemi Windows in circolazione si chiama PrintDemon, ed è sfruttabile per ottenere i più completi privilegi di accesso sull’OS ma solo in ambienti locali. La falla è già stata corretta da Microsoft, almeno per le versioni ancora supportate di Windows.
La vulnerabilità battezzata come PrintDemon (CVE-2020-1048) si annida nello Spooler di stampa di Windows, il componente primario dell’interfaccia che gestisce l’intero processo di stampa. Spoolsv.exe è in pratica responsabile della gestione e dell’invio dei dati di stampa su porta parallela, USB, su file oppure via Internet tramite porta TCP.
Un malintenzionato potrebbe sfruttare il bug PrintDemon per mandare in crash lo spooler di stampa, quindi riavviare il servizio ma questa volta con privilegi di accesso di livello SYSTEM. A questo punto è possibile fare un po’ di tutto sul PC, e la cosa peggiore è che sulle versioni recenti di Windows basta un semplicissimo comando PowerShell per installare una backdoor impossibile da cancellare anche con una patch correttiva.
La vulnerabilità PrintDemon riguarda lo spooler di stampa di Windows da NT 4 (classe 1996) in poi, e i ricercatori hanno già distribuito un codice proof-of-concept come “aiuto” per i colleghi e gli amministratori di sistema. Le versioni di Windows correntemente supportate da Microsoft sono già state mondate dal problema in occasione del recente Patch Tuesday di maggio 2020.