Microsoft Defender for Identity détecte désormais les attaques PrintNightmare

0

Microsoft a ajouté la prise en charge de la détection d’exploitation PrintNightmare à Microsoft Defender for Identity pour aider les équipes d’opérations de sécurité à détecter les tentatives des attaquants d’abuser de cette vulnérabilité critique.

Comme l’a révélé le responsable du programme, Daniel Naim, Microsoft Defender for Identity identifie désormais l’exploitation du service Windows Print Spooler (y compris la faille CVE-2021-34527 de PrintNightmare activement exploité) et aide à bloquer les tentatives de mouvement latéral au sein du réseau d’une organisation.

Si elle est exploitée avec succès, cette faille critique permet aux attaquants de prendre le contrôle des serveurs affectés en élevant les privilèges d’administrateur de domaine, en volant les informations d’identification de domaine et en distribuant des logiciels malveillants en tant qu’administrateur de domaine via l’exécution de code à distance (RCE) avec des privilèges SYSTEM.

Microsoft Defender for Identity (anciennement Azure Advanced Threat Protection ou Azure ATP) est une solution de sécurité basée sur le cloud qui exploite les signaux Active Directory sur site.

Cela permet aux équipes SecOps de détecter et d’enquêter sur les identités compromises, les menaces avancées et les activités d’initiés malveillants ciblant les organisations inscrites.

Defender for Identity est fourni avec Microsoft 365 E5 mais, si vous n’avez pas encore d’abonnement, vous pouvez obtenir un essai de Security E5 dès maintenant pour essayer cette nouvelle fonctionnalité.

microsoft windows sprint spooler
Microsoft Defender for Identity détecte la tentative d’exploitation de PrintNightmare (Daniel Naim)

La semaine dernière, Microsoft a clarifié le guide des correctifs PrintNightmare et a partagé les étapes nécessaires pour corriger correctement la vulnérabilité critique après que plusieurs chercheurs en sécurité aient signalé que les correctifs publiés pour résoudre le bogue étaient incomplets.

CISA a également publié une directive d’urgence, ordonnant aux agences fédérales d’atténuer la vulnérabilité PrintNightmare activement exploitée sur leurs réseaux.

Defender for Identity a été mis à jour en Novembre pour détecter l’exploitation de Zerologon dans le cadre d’attaques sur site visant cette vulnérabilité critique.

Microsoft lancera une autre mise à jour plus tard ce mois-ci qui permettra aux équipes d’opérations de sécurité (SecOps) de bloquer les tentatives d’attaque en verrouillant les comptes Active Directory des utilisateurs compromis.

Nouvelle vulnérabilité du spouleur d’impression Windows

Jeudi dernier, Microsoft a partagé des conseils d’atténuation sur une nouvelle vulnérabilité d’élévation des privilèges du spouleur d’impression Windows suivie comme CVE-2021-34481 et découverte par Jacob Baines, chercheur en sécurité de Dragos.

Contrairement à PrintNightmare, ce bogue de sécurité ne peut être exploité que par des attaquants ayant un accès local aux systèmes vulnérables pour obtenir des privilèges élevés.

« L’attaque n’est pas vraiment liée à PrintNightmare. Comme vous le savez, PrintNightmare peut être exécuté à distance et il s’agit d’une vulnérabilité uniquement locale », a déclaré Baines.

Alors que Microsoft a partagé très peu d’informations concernant ce bogue (y compris les versions de Windows vulnérables), Baines a déclaré que la faille de sécurité était liée au pilote d’imprimante.

Redmond étudie toujours cette vulnérabilité et travaille sur des mises à jour de sécurité pour remédier aux faiblesses sous-jacentes du service Windows Print Spooler.

Jusqu’à ce qu’un correctif pour CVE-2021-34481 soit disponible, Microsoft conseille aux administrateurs de désactiver le service Print Spooler sur les appareils Windows exposés aux attaques.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire