Microsoft è abbastanza veloce nella distribuzione di patch che risolvono gravi vulnerabilità, ma qualche volta interviene con eccessivo ritardo. Da oltre 20 anni, infatti, esiste un bug nel Windows Print Spooler che potrebbe essere sfruttato per installare malware sui computer collegati. L’aggiornamento di sicurezza, rilasciato martedì 12 e identificato come MS16-087, corregge il problema, quindi deve essere installato con priorità assoluta.
Il servizio Windows Print Spooler gestisce il processo di connessione delle stampanti e la stampa dei documenti. In molte aziende viene utilizzato il protocollo Point-and-Print che consente agli utenti di scaricare automaticamente i driver della periferica poco prima della stampa, evitando quindi il download manuale. I ricercatori di Vectra Networks hanno scoperto che Windows Print Spooler non autentica correttamente i driver quando installati da remoto. Solitamente viene mostrato l’avviso del Controllo account, ma spesso per velocizzare il processo viene creata un’eccezione.
Un malintenzionato potrebbe sfruttare questa vulnerabilità per distribuire driver modificati contenenti malware. Ogni stampante o server di stampa viene quindi trasformato in un exploit kit drive-by che infetta tutte le macchine collegate alla rete aziendale. Ci sono diversi tipi di attacco che consentono di sostituire i driver originali con quelli infetti. Uno di essi richiede la connessione fisica di un notebook che viene riconosciuto come una finta stampante di rete, mentre un altro prevede l’intercettazione del traffico di rete tra il computer e la stampante.
Il bug è presente in tutte le versioni di Windows attualmente supportate da Microsoft, da Vista SP2 a Windows 10. In realtà, la vulnerabilità risale ai tempi di Windows 95. Su molti computer è ancora installato Windows XP, per i quali non verrà rilasciata nessuna patch. Un ricercatore di sicurezza afferma che l’aggiornamento non chiude il bug, ma si limita solo a mostrare un warning, se l’utente tenta di installare driver non sicuri.