Windows: une nouvelle faille zero-day du spouleur d’impression

0

Une autre vulnérabilité zero day dans Windows Print Spooler peut donner à un individu malveillant des privilèges administratifs sur une machine Windows via un serveur distant sous le contrôle de l’attaquant et la fonctionnalité « Fichiers spécifiques à la file d’attente ».

Le mois dernier, un chercheur en sécurité a accidentellement révélé une vulnérabilité zero-day de spouleur d’impression de Windows connue sous le nom de PrintNightmare que Microsoft suit sous l’identifiant CVE-2021-34527.

L’exploitation de cette vulnérabilité permet à un individu malveillant d’augmenter ses privilèges sur une machine ou d’exécuter du code à distance.

Microsoft a publié une mise à jour de sécurité pour corriger la vulnérabilité, mais les chercheurs ont déterminé que le correctif pouvait être contourné dans certaines conditions.

Depuis le correctif incomplet, les chercheurs en sécurité ont scruté de près les API d’impression Windows et ont découvert d’autres vulnérabilités affectant le spouleur d’impression Windows.

Serveur d’impression distant utilisé dans l’attaque

Benjamin Delpy, chercheur en sécurité et créateur de Mimikatz, a dévoilé publiquement une nouvelle vulnérabilité zero-day qui permet à un individu malveillant d’obtenir facilement les privilèges SYSTEM sur une machine Windows via un serveur d’impression distant sous son contrôle.

Dans une conversation, Delpy a déclaré que son exploit utilise la fonctionnalité « Fichiers spécifiques à la file d’attente » de la fonctionnalité « Pointer et imprimer » de Windows pour télécharger et exécuter automatiquement une DLL malveillante lorsqu’un client se connecte à un serveur d’impression sous le contrôle d’un attaquant.

« Au moment de l’installation de l’imprimante, une application d’installation fournie par le fournisseur peut spécifier un ensemble de fichiers, de tout type, à associer à une file d’attente d’impression particulière », explique la documentation de Microsoft sur la fonctionnalité « Fichiers spécifiques à la file d’attente« .

« Les fichiers sont téléchargés sur chaque client qui se connecte au serveur d’impression. »

Pour exploiter la vulnérabilité, le chercheur a créé un serveur d’impression accessible sur Internet avec deux imprimantes partagées qui utilisent la fonctionnalité de « fichiers spécifiques à la file d’attente ».

windows printnightmare
Configuration du registre des fichiers spécifiques à la file d’attente
Source : Delpy

Lors de l’exécution de la DLL malveillante, elle s’exécutera avec les privilèges SYSTEM et pourra être utilisée pour exécuter n’importe quelle commande sur l’ordinateur.

Will Dormann, un analyste de vulnérabilité pour CERT/CC, a publié un avis pour cette vulnérabilité qui fournit des informations supplémentaires.

« Alors que Windows impose que les packages de pilotes eux-mêmes soient signés par une source fiable, les pilotes d’imprimante Windows peuvent spécifier des fichiers spécifiques à la file d’attente associés à l’utilisation du périphérique. Par exemple, une imprimante partagée peut spécifier une directive CopyFiles pour les fichiers ICM arbitraires,  » explique le nouvel avis du CERT.

« Ces fichiers, qui sont copiés avec les fichiers du pilote d’imprimante à signature numérique appliquée, ne sont couverts par aucune exigence de signature. C’est-à-dire que tout fichier peut être copié sur un système client via l’installation du pilote d’imprimante Point and Print, où il peut être utilisé par une autre imprimante avec les privilèges SYSTEM. »

« Cela permet le LPE sur un système vulnérable. »

Ce qui rend cette vulnérabilité si dangereuse, c’est qu’elle affecte toutes les versions actuelles de Windows et permet à un acteur malveillant d’obtenir un accès limité à un réseau et d’obtenir instantanément les privilèges SYSTEM sur l’appareil vulnérable.

Grâce à cet accès, les acteurs malveillants peuvent se propager latéralement sur le réseau jusqu’à ce qu’ils accèdent à un contrôleur de domaine.

Delpy a créé un serveur d’impression à distance accessible au public qui peut être utilisé pour tester la vulnérabilité démontrée ci-dessus.

Atténuation de la nouvelle vulnérabilité de l’imprimante

La bonne nouvelle est que Delpy et Dormann ont partagé deux méthodes qui peuvent être utilisées pour atténuer cette nouvelle vulnérabilité « fichiers spécifiques à la file d’attente ».

Ces deux méthodes sont décrites dans l’avis CERT.

Option 1 : Bloquer le trafic SMB sortant à la limite de votre réseau

Comme l’exploit public de Delpy utilise un serveur d’impression distant, vous pouvez bloquer le trafic SMB sortant pour empêcher l’accès à l’ordinateur distant.

Cependant, Dormann déclare que le MS-WPRN peut également être utilisé pour installer des pilotes sans utiliser SMB, et les acteurs malveillants pourraient toujours utiliser cette technique avec un serveur d’impression local.

Par conséquent, cette atténuation n’est pas une méthode infaillible pour bloquer l’exploit.

Option 2 : Configurer PackagePointAndPrintServerList

Un meilleur moyen d’empêcher cet exploit est de restreindre « Point and Print » à une liste de serveurs approuvés à l’aide de la stratégie de groupe « Pointer et imprimer des paquets – Serveurs approuvés ».

windows point and print
Package Point and print – Politique de groupe des serveurs approuvés

Cette politique empêche les utilisateurs non administratifs d’installer des pilotes d’impression à l’aide de Point and Print à moins que le serveur d’impression ne figure sur la liste approuvée.

L’utilisation de cette stratégie de groupe fournira la meilleure protection contre l’exploit connu.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire