PrintNightmare : Microsoft distingue les vulnérabilités
Ce que vous pensez connaître sous le nom de PrintNightmare n’est peut-être pas ce à quoi Microsoft fait référence.
Au cours de la semaine, PrintNightware, une vulnérabilité critique du spooler d’impression de Windows qui permettait l’exécution de code à distance était connue sous le nom de CVE-2021-1675.
Des exploits ont été mis à la disposition du public après que les correctifs de Microsoft n’aient pas réussi à résoudre complètement le problème. Plusieurs chercheurs en sécurité ont publié des codes de preuves de concept sur Github, en avant de les supprimer, mais des copies avaient déjà été faites.
“Microsoft a partiellement résolu ce problème dans sa mise à jour pour CVE-2021-1675. Les systèmes Microsoft Windows qui sont configurés pour être des contrôleurs de domaine et ceux qui ont Point and Print configuré avec l’option NoWarningNoElevationOnInstall configurée sont toujours vulnérables”, a déclaré le CERT de l’université de Carnegie Mellon .
La solution de contournement proposée consiste à désactiver le service Print Spooler.
La situation a été rendue encore plus confuse lorsque Microsoft a abandonné son avis CVE-2021-34527 jeudi.
“Une vulnérabilité d’exécution de code à distance existe lorsque le service Print Spooler de Windows effectue incorrectement des opérations de fichiers privilégiées. Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d’utilisateur”, indique l’avis.
“Une attaque doit impliquer un utilisateur authentifié appelant RpcAddPrinterDriverEx()”.
Cela ressemble donc à PrintNightmare, il s’attaque à la même fonction, et Microsoft dit que c’est la même chose, mais ce n’est pas le cas.
Voici l’intégralité de la FAQ que Microsoft a publiée.
S’agit-il de la vulnérabilité qui a été désignée publiquement comme PrintNightmare ?
Oui, Microsoft a attribué la CVE-2021-34527 à cette vulnérabilité.
Cette vulnérabilité est-elle liée à CVE-2021-1675? > > Oui, Microsoft a attribué la CVE-2021-34527 à cette vulnérabilité.
Cette vulnérabilité est similaire, mais distincte de la vulnérabilité attribuée CVE-2021-1675, qui traite d’une vulnérabilité différente dans RpcAddPrinterDriverEx(). Le vecteur d’attaque est également différent. CVE-2021-1675 a été corrigé par la mise à jour de sécurité de juin 2021.
La mise à jour de juin 2021 a-t-elle introduit cette vulnérabilité ?
Non, la vulnérabilité existait avant la mise à jour de sécurité de juin 2021. Microsoft recommande fortement d’installer les mises à jour de juin 2021.
Quels rôles spécifiques sont connus pour être affectés par la vulnérabilité ?
Les contrôleurs de domaine sont concernés. Nous sommes toujours en train d’enquêter pour savoir si d’autres types de rôles sont également affectés.
Toutes les versions de Windows sont listées dans le tableau des mises à jour de sécurité. Toutes les versions sont-elles exploitables ?
Le code qui contient la vulnérabilité se trouve dans toutes les versions de Windows. Nous sommes en train de vérifier si toutes les versions sont exploitables. Nous mettrons à jour ce CVE lorsque cette information sera évidente.
Pourquoi Microsoft n’a pas attribué de score CVSS à cette vulnérabilité ?
Nous sommes toujours en train d’enquêter sur ce problème et nous ne pouvons pas attribuer de score pour le moment.
Pourquoi le degré de gravité de cette vulnérabilité n’est-il pas défini?
Nous sommes toujours en train d’enquêter. Nous rendrons cette information disponible prochainement.
En raison d’un vecteur d’attaque différent, Microsoft a donc attribué un deuxième identifiant CVE. La solution de contournement suggérée consiste à désactiver le service de spooler d’impression ou à désactiver l’impression à distance entrante par le biais de la stratégie de groupe.
“Cette politique bloquera le vecteur d’attaque à distance en empêchant les opérations d’impression à distance entrantes. Le système ne fonctionnera plus comme un serveur d’impression, mais l’impression locale sur un périphérique directement connecté sera toujours possible”, indique l’avertissement de Microsoft.
“Il s’agit d’une situation évolutive et nous mettrons à jour le CVE au fur et à mesure que des informations supplémentaires seront disponibles”, a déclaré Microsoft. Nul doute qu’ils le feront. Pour l’instant, Microsoft n’a pas fait publiquement état d’exploitation de cette faille par des acteurs malveillants, mais il alerte en privé ses clients concernant des attaques détectées par ses équipes, comme le rapporte Bleeping Computer.
Source : “ZDNet.com”
