www.belgium.be Logo of the federal government

Mise á Jour 2021-07-01

De nouvelles recherches montrent que le correctif du 8 juin 20212 publié par Microsoft ne couvre que partiellement la vulnérabilité et que le problème est plus grave que prévu6,7. Le correctif ne corrige pas la vulnérabilité d’exécution de code à distance (RCE) qui n’a pas été identifiée dans l’examen initial. Entre-temps, un nouveau code susceptible d’exploiter cette vulnérabilité est disponible. Étant donné qu’il n’existe actuellement aucun correctif pour corriger la vulnérabilité RCE et qu’un code Proof-of-Concept qui l’exploite est disponible, le problème est considéré comme une vulnérabilité de type 0-day.

Consultez la section Fournisseurs concernés et solutions pour connaître les solutions mises à jour.

De nouvelles mises à jour de cet avis suivront si une mise à jour ou de nouvelles informations sont disponibles.

Intention

L’objectif de cette alerte est de sensibiliser à une vulnérabilité dans le spooler d’impression de Windows pour laquelle un code Proof-of-Concept (PoC) est disponible. L’histoire montre que les vulnérabilités dont le code PoC est public sont exploitées dans les jours qui suivent la publication du code PoC.

L’objectif de cette alerte est de sensibiliser les administrateurs système à cette vulnérabilité et à ses risques, afin qu’ils puissent réagir en conséquence.

Si ce n’est déjà fait, CERT.be recommande aux administrateurs de systèmes d’appliquer les correctifs à leurs systèmes vulnérables dès que possible et d’analyser les journaux du système et du réseau pour déceler toute activité suspecte.

Résumé

CVE-2021-1675, surnommé « PrintNightmare », est une vulnérabilité dans le spooler d’impression de Windows qui permet l’exécution de code à distance (RCE) sur le système cible. Cette vulnérabilité peut, en outre, être utilisée sans authentification afin de tenter d’élargir les privilèges locaux.

Suite à la fuite du code Proof-of-Concept, on s’attend à ce que des attaques de grande envergure se produisent bientôt. Cette vulnérabilité est susceptible d’être utilisée dans la deuxième phase d’une attaque pour se déplacer latéralement ou obtenir des privilèges d’administrateur de domaine. Cependant, si le service de spooler d’impression est exposé à Internet, il peut également être utilisé comme vecteur d’infection initial.

Détails Technique

La vulnérabilité CVE-2021-1675 est publiée par la National Vulnerability Database (NVD) sous les cotes CVSS(v2) 6.8 et CVSS(v3) 7.8. Une analyse détaillée des cotes peut être trouvée sur le site de la NVD1 ou sur l’avis de Microsoft2.

Un problème d’authentification permet à un utilisateur sans privilèges spéciaux d’installer des pilotes personnalisés, en contournant les contrôles de sécurité. Dans un environnement de domaine, cette vulnérabilité permet aux utilisateurs normaux du domaine d’installer des pilotes personnalisés sur les contrôleurs de domaine (DC) qui exécutent le service de spooler d’impression. Une exploitation réussie pourrait conduire à une compromission complète du domaine.

Une description technique complète ainsi que des exemples de code sont disponibles sur GitHub3. Des règles Sigma sont également disponibles4.

 

Risques

Les acteurs de menaces avancées peuvent utiliser cette vulnérabilité pour accéder aux réseaux de plusieurs secteurs d’infrastructures critiques.

Il leur serait alors possible de mener des attaques d’exfiltration ou de cryptage de données. Ils peuvent également utiliser d’autres CVE et/ou techniques d’exploitation pour cibler des infrastructures critiques et poursuivre leurs attaques.

Fournisseurs concernés et solutions

Cette vulnérabilité touche toutes les versions de Microsoft Windows.

CERT.be recommande aux administrateurs système de mettre à jour leur système d’exploitation vers la dernière version disponible dès que possible, et de s’assurer que le patch2 disponible est installé.

S’il n’est pas possible d’appliquer rapidement le correctif, il existe une solution temporaire. Si elle est appliquée en même temps que le correctif, cette solution peut également renforcer la sécurité globale de votre infrastructure informatique5 :

Désactivez le service de spooler d’impression sur toutes les machines ou désactivez le service sur les machines qui ont des privilèges élevés, comme les contrôleurs de domaine et autres systèmes d’administrateurs. Le printer pruning ne sera plus fonctionnel après la désactivation de ce service. Cette fonctionnalité est toutefois rarement utilisée

Mise á jour 2021-07-01:

  • Désactivez le service de spooler d’impression Windows sur les contrôleurs de domaine et les systèmes qui n’impriment pas.

Command line: net stop spooler && sc config spooler start=disabled
PowerShell: Stop-Service -Name Spooler -Force Set-Service -Name Spooler -StartupType Disabled

  • Pour les systèmes où il est impossible de désactiver le service, limitez l’accès au service de spooler d’impression au niveau du réseau, par exemple en ajoutant des règles de pare-feu.
  • Augmentez vos capacités de détection avec la règle SIGMA4 créée par Florian Roth ou en suivant les suggestions de « Détection dans la suite Microsoft »7.