PrintNightmare

  • PrintNightmare : Microsoft publie son correctif

    La vulnĂ©rabilitĂ© dĂ©couverte fin juin et permettant Ă  distance une Ă©lĂ©vation de privilĂšge, vient de recevoir de la part de Redmond un patch « out of band Â». Il est vivement recommandĂ© d’appliquer le correctif au plus vite.

    Une semaine et demie aprĂšs avoir dĂ©couvert une vulnĂ©rabilitĂ© particuliĂšrement sĂ©vĂšre affectant le spooler d’impression Windows, Microsoft diffuse un patch « out of band Â». Une dĂ©cision rare venant de Redmond, mais qui s’explique par l’existence de plusieurs exploits de CVE-2021-34527 dans la nature.

    La faille permet d’exĂ©cuter du code Ă  distance, « les contrĂŽleurs de domaine Active Directory sont particuliĂšrement exposĂ©s, puisqu’un attaquant, ayant prĂ©alablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilĂšges de niveau “administrateur de domaine” Active Directory Â» expliquait le CERT-FR. Ainsi, un attaquant est en mesure de lire, de modifier, de supprimer des donnĂ©es, de crĂ©er un compte admin avec l’ensemble des privilĂšges, etc.

    Surtout, le spooler d’impression est activĂ© par dĂ©faut sur tous les systĂšmes Windows. C’est pourquoi, en l’absence de correctifs, il Ă©tait vivement recommandĂ© de le dĂ©sactiver, et de le maintenir ainsi pour tous les postes n’ayant pas besoin de gĂ©rer des impressions distantes. Pour ceux qui n’ont d’autres choix que de l’activer, Microsoft a diffusĂ© hier un correctif, que le CERT-FR « recommande trĂšs fortement d'appliquer [...] sans dĂ©lai, mĂȘme si celui-ci semble corriger uniquement l'exĂ©cution de code arbitraire Ă  distance et non l'escalade de privilĂšge en local Â».

    Mesure Ă  prendre

    Attention car le patch ne concerne pas les anciennes versions de Windows 10 qui ne sont plus supportĂ©es. Redmond conseille en outre de vĂ©rifier les points suivants de la fonction « Point and Print Â» :

    • la clĂ© de registre NoWarningNoElevationOnInstall (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) doit ĂȘtre absente ou Ă©gale Ă  0 (DWORD);
    • la clĂ© de registre NoWarningNoElevationOnUpdate (mĂȘme emplacement) doit ĂȘtre absente ou Ă©gale Ă  0 (DWORD)Attention : Il convient de noter que les versions qui ne sont plus maintenues, telles que Windows 10 Version 1903, sont affectĂ©es par la vulnĂ©rabilitĂ© mais ne seront pas corrigĂ©es.

    « PrintNightmare restera un outil d'exploitation prĂ©cieux pour les cybercriminels tant qu'il existera des systĂšmes non corrigĂ©s et, comme nous le savons, les vulnĂ©rabilitĂ©s non corrigĂ©es ont une longue durĂ©e de vie pour les attaquants. Maintenant que Microsoft a publiĂ© des correctifs, les organisations sont fortement encouragĂ©es Ă  appliquer les correctifs dĂšs que possible, d'autant plus que les attaquants intĂšgrent dans leurs boĂźtes Ă  outils des scripts d'exploitation PoC facilement disponibles Â» souligne Satnam Narang, ingĂ©nieur de recherche en chef chez Tenable.  

  • PrintNightmare : Microsoft publie son correctif