Windows: le cauchemar d’impression continue avec des packages de pilotes malveillants

0

Le cauchemar d’impression de Microsoft se poursuit avec un autre exemple de la façon dont un individu malveillant peut obtenir des privilèges SYSTEM en abusant de pilotes d’imprimante malveillants.

Le mois dernier, des chercheurs en sécurité ont accidentellement révélé un exploit de validation de principe pour la faille zero-day PrintNightmare de Windows.

Cette vulnérabilité est identifiée comme CVE-2021-34527 et est une vérification d’autorisation manquante dans le spouleur d’impression de Windows qui permet d’installer des pilotes d’impression malveillants pour réaliser l’exécution de code à distance ou l’élévation des privilèges locaux sur les systèmes vulnérables.

Microsoft a publié une mise à jour de sécurité hors bande (KB5004945) qui était censée corriger la vulnérabilité, mais les chercheurs en sécurité ont rapidement déterminé que le correctif pouvait être contourné dans certaines conditions.

Cependant, Microsoft a déclaré que leurs correctifs fonctionnaient comme prévu et, comme la vulnérabilité était activement exploitée, il a conseillé à tous les utilisateurs de Windows d’installer la mise à jour.

Le cauchemar d’impression continue

Benjamin Delpy, chercheur en sécurité et créateur de Mimikatz, a déclaré qu’il avait trouvé un moyen d’abuser de la méthode normale d’installation des pilotes d’imprimante de Windows pour obtenir des privilèges SYSTEM locaux via des pilotes d’imprimante malveillants.

Cette technique peut être utilisée même si les administrateurs ont appliqué les mesures d’atténuation recommandées par Microsoft consistant à restreindre l’installation du pilote d’imprimante aux administrateurs et à désactiver le pointage et l’impression.

Bien que cette nouvelle méthode d’élévation des privilèges locaux ne soit pas la même que celle communément appelée PrintNightmare, Delpy a déclaré qu’il considérait que les bogues d’installation de pilote d’imprimante similaires étaient classés sous le même nom.

Delpy a expliqué que même avec des mesures d’atténuation appliquées, un individu malveillant pouvait créer un package de pilote d’impression malveillant signé et l’utiliser pour obtenir des privilèges SYSTEM sur d’autres systèmes.

Pour ce faire, l’individu malveillant créerait un pilote d’impression malveillant et le signerait à l’aide d’un certificat Authenticode de confiance en suivant ces étapes.

Cependant, certains pirates informatiques optent pour la méthode « Rolls Royce » de signature des pilotes, qui consiste à acheter ou à voler un certificat EV, puis à le soumettre à la validation Microsoft WHQL en tant que fausse entreprise.

Une fois qu’il dispose d’un package de pilote d’imprimante signé, un individu malveillant peut installer le pilote sur tout autre périphérique en réseau sur lequel il dispose de privilèges administratifs.

Les pirates informatiques peuvent ensuite utiliser ce périphérique « pivot » pour obtenir des privilèges SYSTEM sur d’autres périphériques sur lesquels ils ne disposent pas de privilèges élevés, simplement en installant le pilote malveillant.

Delpy a déclaré que cette technique pourrait être utilisée pour aider les hackers à se propager latéralement dans un réseau déjà compromis.

Pour empêcher cette attaque, vous pouvez désactiver le spouleur d’impression ou activer la stratégie de groupe « Pointer et imprimer » pour limiter les serveurs sur lesquels un périphérique peut télécharger des pilotes d’impression.

Cependant, l’activation de « Point and Print »(Pointage et Impression) permettrait aux exploits PrintNightmare de contourner le correctif actuel de Microsoft.

Lorsqu’on lui a demandé comment Microsoft pouvait empêcher ce type d’attaque, Delpy a déclaré avoir tenté de l’empêcher dans le passé en dépréciant les pilotes d’imprimante de la version 3. En fin de compte, cela a causé des problèmes et Microsoft a mis fin à la politique de dépréciation de la v3 en Juin 2017.

Malheureusement, cette méthode ne sera probablement pas corrigée car Windows est conçu pour permettre à un administrateur d’installer un pilote d’imprimante, même ceux qui peuvent être malicieusement malveillants. De plus, Windows est conçu pour permettre aux utilisateurs non administrateurs d’installer des pilotes signés sur leurs appareils pour une utilisation facile.

Au lieu de cela, les logiciels de sécurité seront probablement la principale défense contre de telles attaques en détectant le pilote ou le comportement malveillant.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire