Microsoft déploie une mise à jour d’urgence pour PrintNightmare

0

Microsoft a publié la mise à jour de sécurité d’urgence KB5004945 pour corriger la vulnérabilité zero-day de PrintNightmare activement exploitée dans le service Windows Print Spooler affectant toutes les versions de Windows. Cependant, le correctif est incomplet et la vulnérabilité peut toujours être exploitée localement pour obtenir les privilèges SYSTEM.

La faille d’exécution de code à distance (identifiée comme CVE-2021-34527) permet aux hackers de prendre le contrôle des serveurs affectés via l’exécution de code à distance avec des privilèges SYSTEM, car il leur permettra d’installer des programmes, d’afficher, de modifier ou de supprimer des données, et créer de nouveaux comptes avec des droits d’utilisateur complets.

Des instructions détaillées sur la façon d’installer ces mises à jour de sécurité hors bande pour votre système d’exploitation sont disponibles dans les documents d’assistance liés ci-dessous :

Les mises à jour de sécurité n’ont pas encore été publiées pour Windows 10 version 1607, Windows Server 2016 ou Windows Server 2012, mais elles le seront également bientôt, selon Microsoft.

« Les notes de version associées à ces mises à jour peuvent être publiées avec un délai pouvant aller jusqu’à une heure après que les mises à jour soient disponibles pour téléchargement », a déclaré Microsoft.

« Des mises à jour pour les versions prises en charge restantes de Windows seront publiées dans les prochains jours. »

microsoft windows printnightmare

Le correctif ne corrige que l’exploitation à distance

La vulnérabilité PrintNightmare inclut à la fois une exécution de code à distance et un vecteur d’élévation des privilèges locaux qui peuvent être utilisés dans des attaques pour exécuter des commandes avec des privilèges SYSTEM sur un système vulnérable.

Après que Microsoft ait publié la mise à jour hors bande, le chercheur en sécurité Matthew Hickey a vérifié que le correctif ne corrige que le composant d’exécution de code à distance et non le composant d’élévation des privilèges locaux.

Cela signifie que le correctif est incomplet et que les pirates informatiques et les logiciels malveillants peuvent toujours exploiter localement la vulnérabilité pour obtenir les privilèges SYSTEM.

Atténuation également disponible

Microsoft recommande aux clients d’installer ces mises à jour de sécurité hors bande immédiatement pour remédier à la vulnérabilité PrintNightmare.

Ceux qui ne peuvent pas installer ces mises à jour dès que possible doivent consulter les sections FAQ et Solution de contournement dans l’avis de sécurité CVE-2021-34527 pour savoir comment protéger leurs systèmes contre les attaques exploitant cette vulnérabilité.

Les options d’atténuation disponibles incluent la désactivation du service Spouleur d’impression pour supprimer la capacité d’impression localement et à distance ou la désactivation de l’impression à distance entrante via la stratégie de groupe pour supprimer le vecteur d’attaque à distance en bloquant les opérations d’impression à distance entrantes.

Dans le second cas, Microsoft précise que « le système ne fonctionnera plus comme un serveur d’impression, mais l’impression locale sur un périphérique directement connecté sera toujours possible ».

CISA a également publié une notification sur la faille zero-day PrintNightmare, encourageant les administrateurs à désactiver le service Windows Print Spooler sur les serveurs non utilisés pour l’impression.

Laisser un commentaire