Windows : Une nouvelle vulnérabilité découverte dans le spouleur d’impression
Après déjàdeux vulnérabilités PrintNightmare, la dernière chose dont le Spooler d’impression de Windows avait besoin était une troisième vulnérabilité. Et pourtant, elle existe.
Microsoft a en effet annoncé que CVE-2021-34481 permet une élévation locale des privilèges au niveau du SYSTEM.
Désactiver le service Print Spooler
« Il existe une vulnérabilité d’élévation de privilèges lorsque le service Windows Print Spooler exécute incorrectement des opérations de fichiers privilégiées. Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Il pourrait alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d’utilisateur », avertit Microsoft.
« Le potentiel attaquant doit avoir la capacité d’exécuter du code sur un système victime pour exploiter cette vulnérabilité. »
« La solution de contournement de cette vulnérabilité consiste à arrêter et désactiver le service Print Spooler. »
Une exploitation très probable
Microsoft évalue l’exploitabilité de la vulnérabilité comme « très probable ».
« Les analyses de Microsoft montrent que le code d’exploitation pourrait être créé de telle manière qu’un attaquant pourrait exploiter cette vulnérabilité de manière cohérente. De plus, l’entreprise a connaissance de cas passés d’exploitation de ce type de vulnérabilité. Ce qui en ferait une cible attrayante pour des attaquants, et augmente donc la probabilité que des exploits puissent être créés », peut-on lire dans l’index d’exploitabilité de Microsoft.
Microsoft précise qu’elle est en train de mettre en place un correctif, et que la vulnérabilité n’a pas été introduite dans sa série de mises à jour du 13 juillet.
Série noire pour le spouleur d’impression
L’entreprise s’est efforcée récemment de patcher son service Print Spooler, après qu’une faille de sécurité critique permettant l’exécution de code à distance a été annoncé – CVE-2021-1675.
Malheureusement, les correctifs de Microsoft n’ont pas entièrement résolu le problème, et des exploits ont été porté à la connaissance du grand public. Les chercheurs en sécurité qui avaient déjà publié leur code l’ont supprimé, mais il était déjà diffusé sur GitHub.
Microsoft a ensuite abandonné la CVE-2021-34527 plus tard dans la semaine, qui avait à peu près la même description d’exécution de code en tant que SYSTÈME que la CVE-2021-34481. Contrairement à la nouvelle vulnérabilité, celle-ci peut être exécutée à distance.
Source : ZDNet.com
