Microsoft partage des mesures d’atténuation pour une faille zero-day de Windows

0

Microsoft a fourni des conseils d’atténuation pour bloquer les attaques sur les systèmes vulnérables aux exploits ciblant la vulnérabilité zero-day de Windows connue sous le nom de PrintNightmare.

Cette faille d’exécution de code à distance – désormais identifié comme CVE-2021-34527 – affecte toutes les versions de Windows selon Microsoft, la société enquête toujours pour savoir si la vulnérabilité est exploitable sur chacune d’entre elles.

CVE-2021-34527 permet aux attaquants de prendre le contrôle des serveurs affectés via l’exécution de code à distance avec des privilèges SYSTEM, car cela leur permet d’installer des programmes, d’afficher, de modifier ou de supprimer des données et de créer de nouveaux comptes avec des droits d’utilisateur complets.

Sous exploitation active

La société a ajouté dans un avis de sécurité récemment publié que PrintNightmare avait déjà été exploité à l’état sauvage. Microsoft n’a pas partagé qui est derrière l’exploitation détectée (menaces ou chercheurs en sécurité).

Cependant, dans un rapport d’analyse des menaces séparé pour les clients de Microsoft 365 Defender, Microsoft indique que les attaquants exploitent activement la faille zero-day de PrintNightmare.

Pour le moment, aucune mise à jour de sécurité n’est disponible pour résoudre le problème de PrintNightmare, Microsoft enquête sur le problème et travaille sur un correctif.

Microsoft a également supprimé la confusion entourant le bogue en déclarant que « similaire mais distincte de la vulnérabilité attribuée à CVE-2021-1675 », qui a été corrigée en Juin.

Mesures d’atténuation disponibles

Bien qu’ils n’aient pas publié de mises à jour de sécurité pour corriger cette faille, Microsoft fournit des mesures d’atténuation pour empêcher les attaquants de s’emparer de systèmes vulnérables.

Les options disponibles incluent la désactivation du service d’impression pour supprimer la capacité d’impression localement et à distance, ou la désactivation de l’impression à distance entrante via la stratégie de groupe pour supprimer le vecteur d’attaque à distance en bloquant les opérations d’impression à distance entrantes.

Dans le second cas, Microsoft précise que « le système ne fonctionnera plus comme un serveur d’impression, mais l’impression locale sur un périphérique directement connecté sera toujours possible ».

Pour atténuer la vulnérabilité, vous devez suivre l’une des deux procédures suivantes :

Option 1 – Désactiver le service Spouleur d’impression

Si la désactivation du service Spouleur d’impression convient à votre entreprise, utilisez les commandes PowerShell suivantes :

Stop-Service -Spouleur de nom -Force

Set-Service -Spouleur de noms -StartupType désactivé

Option 2 – Désactiver l’impression à distance entrante via la stratégie de groupe

Vous pouvez également configurer les paramètres via la stratégie de groupe comme suit : Configuration de l’ordinateur / Modèles d’administration / Imprimantes

Désactivez la stratégie « Autoriser le spouleur d’impression à accepter les connexions client : » pour bloquer les attaques à distance.

CISA conseille également de désactiver le service Print Spooler

Dans les nouvelles connexes, CISA a également publié une notification sur la faille zero-day PrintNightmare encourageant les administrateurs à désactiver le service Windows Print Spooler sur les serveurs non utilisés pour l’impression.

Conformément aux recommandations précédentes de Microsoft sur la façon d’atténuer les risques sur les contrôleurs de domaine avec le service de spouleur d’impression en cours d’exécution, le service doit être désactivé sur tous les contrôleurs de domaine et les systèmes d’administration Active Directory via un objet de stratégie de groupe en raison de l’exposition accrue aux attaques.

Étant donné que ce service est activé par défaut sur la plupart des clients Windows et des plates-formes de serveur, le risque d’attaques futures ciblant activement les systèmes vulnérables est important.

Jusqu’à ce que Microsoft publie les mises à jour de sécurité pour PrintNightmare, la mise en œuvre des mesures d’atténuation énumérées ci-dessus est le moyen le plus simple de garantir que les pirates informatiques, et les groupes de ransomware en particulier, ne sauteront pas sur l’occasion pour pénétrer votre réseau.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire