Fin juin, des chercheurs en sécurité ont échangé sur PrintNightmare, une vulnérabilité qui se trouve dans le service Windows Print Spooler. Le correctif publié lors du « Patch Tuesday » de juin était censé corriger la vulnérabilité, et c’est ce qu’elle a fait, mais il s’est avéré qu’il y en avait deux. Ce patch a en effet corrigé la vulnérabilité CVE-2021-1675 mais pas la CVE-2021-34527. Comme le spouleur d’impression est actif par défaut dans Windows, les malfaiteurs peuvent se servir de ces vulnérabilités afin de prendre le contrôle des ordinateurs et serveurs possédant ce système d’exploitation qui n’ont pas été mis à jour.
PrintNightmare est le nom que Microsoft a donné à la vulnérabilité CVE-2021-34527 et non à la CVE-2021-1675. Cependant, il est courant d’utiliser ce nom pour se référer aux deux vulnérabilités.
Nos experts ont étudié en détail ces deux dernières pour s’assurer que [kesb placeholder]les solutions de sécurité de Kaspersky[kesb placeholder] équipées d’une technologie de prévention des exploits ainsi que d’une protection qui repose sur l’analyse comportementale empêchent les tentatives d’exploitation.
En quoi PrintNightmare est-elle dangereuse
La vulnérabilité PrintNightmare est considérée comme extrêmement dangereuse pour deux raisons. Premièrement, le fait que le spouler d’impression soit activé par défaut sur toutes les versions Windows, y compris dans les contrôleurs de domaine et sur les ordinateurs possédant des privilèges d’administration, rend ces ordinateurs vulnérables.
Deuxièmement, un malentendu entre l’équipe de recherche (ou alors une simple erreur) a entraîné l’exploitation d’une preuve de concept après la publication en ligne de PrintNightmare. Ces chercheurs, convaincus que le correctif publié en juin par Microsoft avait réglé le problème, ont partagé leur travail avec la communauté d’experts. Cependant, l’exploit était toujours dangereux. La preuve de concept a rapidement été supprimée, mais certaines personnes l’avaient déjà copiée. C’est pour cette raison que nos experts Kaspersky s’attendent à une augmentation des tentatives d’exploitation de PrintNightmare.
Les exploitations des vulnérabilités
La vulnérabilité CVE-2021-1675 est une vulnérabilité de type élévation de privilège. Elle permet au pirate informatique possédant des privilèges d’accès restreints de créer et d’utiliser un fichier malveillant DLL afin d’exploiter une faille de sécurité et d’obtenir des privilèges plus élevés. Cependant, ceci n’est possible que si le pirate informatique a déjà accès à l’ordinateur vulnérable en question. Selon Microsoft, cette vulnérabilité n’est pas très dangereuse.
La vulnérabilité CVE-2021-34527 est bien plus dangereuse. Bien que similaire, il s’agit d’une vulnérabilité permettant d’exécuter un code arbitraire à distance, ce qui signifie qu’elle permet une injection DLL à distance. Microsoft a déjà observé des exploits de cette vulnérabilité. Vous trouverez sur Securelist une description plus détaillée de ces deux vulnérabilités et des façons dont elles peuvent être exploitées.
Puisque les malfaiteurs peuvent utiliser PrintNightmare pour accéder aux données de l’infrastructure de l’entreprise, ils peuvent également se servir de l’exploit pour mener une attaque de ransomware.
Comment protéger votre infrastructure contre PrintNightmare
La première chose à faire pour empêcher l’exploit de PrintNightmare est d’installer tous les correctifs publiés par Microsoft en juin et en juillet. Si vous ne pouvez pas installer les correctifs, vous trouverez également sur la dernière page quelques méthodes alternatives– dont l’une d’entre elles n’implique pas de désactiver Windows Print Spooler.
Ceci dit, nous recommandons fortement de désactiver Windows Print Spooler sur les appareils qui n’en ont pas besoin, ce qui est le cas notamment des serveurs des contrôleurs de domaine : il est très peu probable qu’ils aient besoin de la fonction d’impression.
De plus, chaque ordinateur et serveur doit posséder des solutions de sécurité des terminaux fiables afin d’empêcher les tentatives d’exploitation des vulnérabilités connues et inconnues, dont PrintNightmare.