Microsoft a publié des mises à jour de sécurité d'urgence pour remédier à la vulnérabilité du jour zéro PrintNightmare dans Windows, qui est activement exploitée dans le monde réel.
La vulnérabilité PrintNightmare est associée au spouleur d'impression Windows et affecte toutes les versions de Windows. Malheureusement, le correctif ne corrige pas complètement la vulnérabilité et les attaquants peuvent toujours l'exploiter pour obtenir les privilèges SYSTEM.
La vulnérabilité d'exécution de code à distance CVE-2021-34527 permet aux attaquants de prendre le contrôle des serveurs affectés. En cas d'opération réussie, ils reçoivent des privilèges SYSTEM, ce qui signifie qu'ils peuvent installer des programmes, afficher, modifier et supprimer des données, et créer de nouveaux comptes avec tous les droits.
Des instructions détaillées pour l'installation de mises à jour de sécurité hors service pour votre système d'exploitation sont disponibles dans les documents d'assistance liés ci-dessous :
Windows 10 version 21H1 (KB5004945)
Windows 10 version 20H1 (KB5004945)
Windows 10 version 2004 (KB5004945)
Windows 10 version 1909 (KB5004946)
Windows 10 version 1809 et Windows Server 2019 (KB5004947)
Windows 10, version 1803 (KB5004949) [pas encore disponible]
Windows 10 version 1507 (KB5004950)
Windows 8.1 et Windows Server 2012 (rollup mensuel KB5004954 / mise à jour de sécurité KB5004958)
Windows 7 SP1 et Windows Server 2008 R2 SP1 (KB5004953 Monthly Rollup / KB5004951 Security Update)
Windows Server 2008 SP2 (Groupe mensuel KB5004955 / Mise à jour de sécurité KB5004959)
Microsoft n'a pas encore publié de mises à jour de sécurité pour Windows 10, version 1607, Windows Server 2016 ou Windows Server 2012, mais promet de le faire bientôt.
La société informe :
Les notes de version pour ces mises à jour peuvent être retardées jusqu'à une heure après que les mises à jour soient disponibles pour téléchargement.
Des mises à jour pour les versions prises en charge restantes de Windows seront publiées dans les prochains jours.
Les correctifs ne corrigent que l'exploitation à distance :
La vulnérabilité PrintNightmare inclut un vecteur d'exécution de code à distance (RCE) et d'élévation de privilèges local (LPE), qui peut être exploité dans des attaques pour exécuter des commandes avec des privilèges SYSTEM sur un système affecté.
Après que Microsoft a publié une mise à jour d'urgence, le chercheur en sécurité Matthew Hickey a examiné le correctif et a confirmé qu'il ne corrigeait que le composant RCE, pas le LPE.
Cela signifie que le correctif est incomplet et que les attaquants et les logiciels malveillants peuvent exploiter la vulnérabilité pour obtenir les privilèges SYSTEM.
Des mesures pour fermer la vulnérabilité sont également disponibles :
Microsoft encourage vivement les clients à appliquer immédiatement ces mises à jour de sécurité hors service pour remédier à la vulnérabilité PrintNightmare.
Les utilisateurs qui ne sont pas en mesure d'installer ces mises à jour dès que possible peuvent consulter les solutions de contournement publiées dans le bulletin de sécurité CVE-2021-34527 pour protéger leurs systèmes contre les attaques exploitant PrintNightmare.
Les options d'atténuation des attaques disponibles incluent la désactivation du service Spouleur d'impression - dans ce cas, la possibilité d'imprimer localement ou à distance - et la désactivation de l'impression à distance entrante à l'aide de la stratégie de groupe pour supprimer le vecteur d'attaque à distance en bloquant les opérations d'impression à distance entrantes.
Microsoft dit qu'avec la deuxième option, "le système ne fonctionnera plus comme un serveur d'impression, mais l'impression locale vers un périphérique directement connecté fonctionnera toujours".
La semaine dernière, la Cyber and Infrastructure Protection Agency (CISA) a publié un avertissement de vulnérabilité PrintNightmare conseillant aux administrateurs de désactiver le service Print Spooler sur les serveurs qui ne sont pas utilisés pour l'impression.
2021-07-08 15:17:07
Auteur: Vitalii Babkin