Un jour après la publication des mises à jour Patch Tuesday, Microsoft a reconnu une autre vulnérabilité d’exécution de code à distance dans le composant Windows Print Spooler, ajoutant qu’il travaillait à résoudre le problème dans une prochaine mise à jour de sécurité.
Suivi comme CVE-2021-36958 (score CVSS : 7,3), la faille non corrigée est la dernière à rejoindre une liste de bogues connus collectivement sous le nom de ImprimerCauchemar qui ont tourmenté le service d’impression et ont été révélés ces derniers mois. Victor Mata de FusionX, Accenture Security, qui a été crédité d’avoir signalé la faille, mentionné le problème a été divulgué à Microsoft en décembre 2020.
« Une vulnérabilité d’exécution de code à distance existe lorsque le service Windows Print Spooler exécute de manière incorrecte des opérations de fichiers privilégiés », a déclaré la société dans son bulletin hors bande, faisant écho aux détails de la vulnérabilité pour CVE-2021-34481. « Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec tous les droits d’utilisateur. »
Il convient de noter que le fabricant de Windows a depuis publié mises à jour pour modifier le comportement par défaut de Point and Print, empêchant efficacement les utilisateurs non administrateurs d’installer ou de mettre à jour des pilotes d’imprimante nouveaux et existants à l’aide de pilotes à partir d’un ordinateur ou d’un serveur distant sans s’élever d’abord au rang d’administrateur.
Comme solutions de contournement, Microsoft recommande aux utilisateurs d’arrêter et de désactiver le service Print Spooler pour empêcher les acteurs malveillants d’exploiter la vulnérabilité. Le Centre de Coordination du CERT, dans un note de vulnérabilité, conseille également aux utilisateurs de bloquer le trafic SMB sortant pour empêcher la connexion à une imprimante partagée malveillante.