Microsoft confirme un autre bogue zero-day du spouleur d’impression de Windows

0

Microsoft a publié un avis pour une autre vulnérabilité zero-day du spouleur d’impression de Windows identifiée comme CVE-2021-36958 qui permet aux attaquants locaux d’obtenir des privilèges SYSTEM sur un ordinateur.

Cette vulnérabilité fait partie d’une classe de bogues connue sous le nom de « PrintNightmare », qui abuse des paramètres de configuration du spouleur d’impression Windows, des pilotes d’impression et de la fonctionnalité Pointer et Imprimer de Windows.

Microsoft a publié des mises à jour de sécurité en Juillet et en Août pour corriger diverses vulnérabilités de PrintNightmare.

Cependant, une vulnérabilité révélée par le chercheur en sécurité Benjamin Delpy permet toujours aux acteurs malveillants d’obtenir rapidement les privilèges SYSTEM en se connectant simplement à un serveur d’impression distant, comme illustré ci-dessous.

Cette vulnérabilité utilise la directive de registre CopyFile pour copier un fichier DLL qui ouvre une invite de commande au client avec un pilote d’impression lorsque vous vous connectez à une imprimante.

Bien que les récentes mises à jour de sécurité de Microsoft aient modifié la nouvelle procédure d’installation du pilote d’imprimante afin qu’elle nécessite des privilèges d’administrateur, vous ne serez pas obligé d’entrer des privilèges d’administrateur pour vous connecter à une imprimante lorsque ce pilote est déjà installé.

De plus, si le pilote existe sur un client et n’a donc pas besoin d’être installé, la connexion à une imprimante distante exécutera toujours la directive CopyFile pour les utilisateurs qui ne sont pas administrateurs. Cette faille permet à la DLL de Delpy d’être copiée sur le client et exécutée pour ouvrir une invite de commande au niveau de SYSTEM.

Microsoft publie un avis sur CVE-2021-36958

Microsoft a publié un avis sur une nouvelle vulnérabilité du spouleur d’impression Windows identifiée comme CVE-2021-36958.

« Il existe une vulnérabilité d’exécution de code à distance lorsque le service Windows Print Spooler exécute de manière incorrecte des opérations sur les fichiers privilégiés », lit-on dans l’avis de CVE-2021-36958.

« Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec tous les droits d’utilisateur. »

« La solution de contournement pour cette vulnérabilité est d’arrêter et de désactiver le service de spouleur d’impression. »

Will Dormann, un analyste de vulnérabilité pour CERT/CC, a déclaré que Microsoft a confirmé que CVE-2021-36958 correspond à l’exploit de preuve de concept partagé par Delpy sur Twitter et décrit ci-dessus.

Dans l’avis, Microsoft attribue le bogue à Victor Mata de FusionX, Accenture Security, qui a également découvert le bogue en Décembre 2020.

Curieusement, Microsoft a classé cela comme une vulnérabilité d’exécution de code à distance, même si l’attaque doit être effectuée localement sur un ordinateur.

Lorsque Dormann a été questionné pour préciser s’il s’agissait d’un étiquetage incorrect, il a répondu « c’est clairement local (LPE) » en se basant sur le score CVS.

« Ils viennent de recycler ‘Une vulnérabilité d’exécution de code à distance existe lorsque le service Windows Print Spooler exécute de manière incorrecte des opérations sur les fichiers privilégiés’ : https://google.com/search?q=%22A+. » a déclaré Dormann.

Microsoft mettra probablement à jour son avis au cours des prochains jours pour changer sa note « d’impact » en « Élévation de privilèges ».

Atténuation de la vulnérabilité CVE-2021-36958

Microsoft n’a pas encore publié de mise à jour de sécurité pour cette faille, mais indique que vous pouvez supprimer le vecteur d’attaque en désactivant le spouleur d’impression.

Comme la désactivation du spouleur d’impression empêchera votre appareil d’imprimer, une meilleure méthode consiste uniquement à autoriser votre appareil à installer des imprimantes à partir de serveurs autorisés.

Cette restriction peut être effectuée à l’aide de la stratégie de groupe ‘Package Point and print – Politique de groupe des serveurs approuvés’, empêchant les utilisateurs non administratifs d’installer des pilotes d’impression à l’aide de Point and Print à moins que le serveur d’impression ne figure sur la liste approuvée.

microsoft windows
Package Point and print – Politique de groupe des serveurs approuvés

Pour activer cette stratégie, lancez l’éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration utilisateur > Modèles d’administration > Panneau de configuration > Imprimantes > Point de package et impression – Serveurs approuvés.

Lorsque vous basculez sur la stratégie, entrez la liste des serveurs que vous souhaitez autoriser à utiliser comme serveur d’impression, puis appuyez sur OK pour activer la stratégie. Si vous n’avez pas de serveur d’impression sur votre réseau, vous pouvez entrer un faux nom de serveur pour activer la fonctionnalité.

L’utilisation de cette stratégie de groupe fournira la meilleure protection contre les exploits CVE-2021-36958 mais n’empêchera pas les acteurs malveillants de prendre le contrôle d’un serveur d’impression autorisé avec des pilotes malveillants.

Laisser un commentaire