Cette semaine, ImprimerCauchemar – La vulnérabilité du spouleur d’impression de Microsoft (CVE-2021-34527) a été mise à niveau d’une criticité ‘faible’ à une criticité ‘critique’.

Cela est dû à une preuve de concept publiée sur GitHub, que les attaquants pourraient potentiellement exploiter pour accéder aux contrôleurs de domaine.

Comme nous l’avons signalé précédemment, Microsoft a déjà publié un correctif en juin 2021, mais cela n’a pas suffi à arrêter les exploits. Les attaquants peuvent toujours utiliser Print Spooler lorsqu’ils se connectent à distance. Vous pouvez trouver tout ce que vous devez savoir sur cette vulnérabilité dans cet article et comment vous pouvez l’atténuer (et vous le pouvez).

Spooler d’impression en quelques mots : Print Spooler est le service de Microsoft pour gérer et surveiller l’impression des fichiers. Ce service est parmi les plus anciens de Microsoft et a eu des mises à jour de maintenance minimales depuis sa sortie.

Chaque machine Microsoft (serveurs et points de terminaison) a cette fonctionnalité activée par défaut.

Vulnérabilité PrintNightmare : Dès qu’un attaquant obtient un accès utilisateur limité à un réseau, il pourra se connecter (directement ou à distance) au spouleur d’impression. Étant donné que le spouleur d’impression a un accès direct au noyau, l’attaquant peut l’utiliser pour accéder au système d’exploitation, exécuter du code à distance avec des privilèges système et finalement attaquer le contrôleur de domaine.

Votre meilleure option pour atténuer la vulnérabilité PrintNightmare consiste à désactiver le spouleur d’impression sur chaque serveur et/ou poste de travail sensible (tels que les postes de travail des administrateurs, les postes de travail avec accès direct à Internet et les postes de travail sans impression).

C’est ce que Dvir Goren, expert en durcissement et CTO chez Solutions logicielles CalCom, suggère que votre premier pas vers l’atténuation.

Suivez ces étapes pour désactiver le service Spouleur d’impression sous Windows 10 :

1. Ouvrez Démarrer.
2. Recherchez PowerShell, faites un clic droit dessus et sélectionnez Exécuter en tant qu’administrateur.
3. Tapez la commande et appuyez sur Entrée : Stop-Service -Spouleur de nom -Force
4. Utilisez cette commande pour empêcher le service de redémarrer lors du redémarrage : Set-Service -Name Spooler -StartupType Disabled

D’après l’expérience de Dvir, 90 % des serveurs ne nécessitent pas Print Spooler. C’est la configuration par défaut pour la plupart d’entre eux, elle est donc généralement activée. En conséquence, le désactiver peut résoudre 90 % de votre problème et avoir peu d’impact sur la production.

Dans les infrastructures grandes et complexes, il peut être difficile de localiser où Print Spooler est utilisé.

Voici quelques exemples où Print Spooler est requis :

1. Lorsque vous utilisez les services Citrix,
2. Serveurs de fax,
3. Toute application nécessitant l’impression virtuelle ou physique de PDF, XPS, etc. Services de facturation et applications salariales, par exemple.

Voici quelques exemples lorsque le spouleur d’impression n’est pas nécessaire mais activé par défaut :

1. Contrôleur de domaine et Active Directory – le principal risque de cette vulnérabilité peut être neutralisé en pratiquant une cyber-hygiène de base. Cela n’a aucun sens d’activer le spouleur d’impression dans les contrôleurs de domaine et les serveurs AD.
2. Serveurs membres tels que les serveurs SQL, File System et Exchange.
3. Machines qui ne nécessitent pas d’impression.

Voici quelques autres étapes de renforcement suggérées par Dvir pour les machines dépendantes de Print Spooler :

1. Remplacez le protocole vulnérable Print Spooler par un service non Microsoft.
2. En modifiant « Autoriser le spouleur d’impression à accepter les connexions client », vous pouvez restreindre l’accès des utilisateurs et des pilotes au spouleur d’impression aux groupes qui doivent l’utiliser.
3. Désactivez l’appelant Print Spooler dans le groupe de compatibilité Pre-Windows 2000.
4. Assurez-vous que Point and Print n’est pas configuré sur Aucun avertissement – vérifiez la clé de registre SOFTWARE/Policies/Microsoft/Windows NT/Printers/PointAndPrint/NoElevationOnInstall pour la valeur DWORD 1.
5. Désactivez EnableLUA – vérifiez la clé de registre SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System/EnableLUA pour la valeur DWORD 0.

Voici ce que vous devez faire ensuite pour vous assurer que votre organisation est sécurisée :

1. Identifiez où Print Spooler est utilisé sur votre réseau.
2. Mappez votre réseau pour trouver les machines qui doivent utiliser Print Spooler.
3. Désactivez le spouleur d’impression sur les machines qui ne l’utilisent pas.
4. Pour les machines qui nécessitent Print Spooler, configurez-les de manière à minimiser sa surface d’attaque.

À côté de cela, pour trouver des preuves potentielles d’exploitation, vous devez également surveiller les entrées de journal Microsoft-Windows-PrintService/Admin. Il peut y avoir des entrées avec des messages d’erreur indiquant que le spouleur d’impression ne peut pas charger les DLL du module de plug-in, bien que cela puisse également se produire si un attaquant a empaqueté une DLL légitime demandée par le spouleur d’impression.

La recommandation finale de Dvir est de mettre en œuvre ces recommandations à travers durcissement des outils d’automatisation. Sans automatisation, vous passerez d’innombrables heures à essayer de durcir manuellement et vous pourriez vous retrouver vulnérable ou faire tomber les systèmes en panne.

Après avoir choisi votre plan d’action, un Outil d’automatisation du durcissement découvrira où Print Spooler est activé, où ils sont réellement utilisés, et les désactivera ou les reconfigurera automatiquement.