Même en tant que Microsoft correctifs étendus pour la vulnérabilité dite PrintNightmare pour Windows 10 version 1607, Windows Server 2012 et Windows Server 2016, il est apparu que le correctif de l’exploit d’exécution de code à distance dans le service Windows Print Spooler peut être contourné dans certains scénarios, efficacement déjouer les protections de sécurité et permettre aux attaquants d’exécuter du code arbitraire sur les systèmes infectés.
Mardi, le fabricant de Windows a publié une mise à jour hors bande d’urgence pour traiter CVE-2021-34527 (score CVSS : 8,8) après que la faille a été accidentellement révélée par des chercheurs de la société de cybersécurité basée à Hong Kong Sangfor à la fin du mois dernier, au cours de laquelle point, il est apparu que le problème était différent d’un autre bogue – suivi comme CVE-2021-1675 – qui a été corrigé par Microsoft le 8 juin.
« Il y a quelques jours, deux failles de sécurité ont été découvertes dans le mécanisme d’impression existant de Microsoft Windows », a déclaré Yaniv Balmas, responsable de la cyber-recherche chez Check Point, à The Hacker News. « Ces vulnérabilités permettent à un attaquant malveillant d’obtenir un contrôle total sur tous les environnements Windows qui permettent l’impression. »
« Ce sont principalement des postes de travail mais, parfois, cela concerne des serveurs entiers qui font partie intégrante de réseaux organisationnels très populaires. Microsoft a classé ces vulnérabilités comme critiques, mais lorsqu’elles ont été publiées, elles n’ont pu en corriger qu’une seule, laissant la porte ouverte aux explorations de la deuxième vulnérabilité », a ajouté Balmas.
PrintNightmare provient de bogues dans Windows Spouleur d’impression service, qui gère le processus d’impression à l’intérieur des réseaux locaux. La principale préoccupation liée à la menace est que les utilisateurs non administrateurs avaient la possibilité de charger leurs propres pilotes d’imprimante. Cela a maintenant été rectifié.
« Après avoir installé ce [update] et les mises à jour Windows ultérieures, les utilisateurs qui ne sont pas administrateurs peuvent uniquement installer des pilotes d’impression signés sur un serveur d’impression », Microsoft mentionné, détaillant les améliorations apportées pour atténuer les risques associés à la faille. « Les informations d’identification de l’administrateur seront requises pour installer des pilotes d’imprimante non signés sur un serveur d’impression à l’avenir. »
Après la publication de la mise à jour, Will Dormann, analyste des vulnérabilités du CERT/CC, a averti que le correctif « ne semble traiter que les variantes d’exécution de code à distance (RCE via SMB et RPC) de PrintNightmare, et non la variante d’escalade de privilège local (LPE) », ainsi permettant aux attaquants d’abuser de ce dernier pour obtenir les privilèges SYSTEM sur les systèmes vulnérables.
Maintenant, des tests supplémentaires de la mise à jour ont révélé que les exploits ciblant la faille pourraient contourne les remédiations entièrement pour obtenir à la fois une élévation des privilèges locaux et l’exécution de code à distance. Pour y parvenir, cependant, un Politique Windows appelé ‘Restrictions de pointage et d’impression‘ doit être activé (Computer ConfigurationPoliciesAdministrative TemplatesPrinters: Point and Print Restrictions), à l’aide duquel des pilotes d’imprimante malveillants pourraient être potentiellement installés.
« Notez que la mise à jour Microsoft pour CVE-2021-34527 n’empêche pas efficacement l’exploitation des systèmes où Point and Print NoWarningNoElevationOnInstall est défini sur 1 », Dormann mentionné Mercredi. Microsoft, pour sa part, explique dans son avis que « Point and Print n’est pas directement lié à cette vulnérabilité, mais la technologie affaiblit la posture de sécurité locale de telle manière que l’exploitation sera possible. »
Alors que Microsoft a recommandé l’option nucléaire d’arrêter et de désactiver le service Spouleur d’impression, un solution de contournement alternative consiste à activer les invites de sécurité pour Pointer et imprimer et à limiter les privilèges d’installation du pilote d’imprimante aux seuls administrateurs en configurant la valeur de registre « RestrictDriverInstallationToAdministrators » pour empêcher les utilisateurs réguliers d’installer des pilotes d’imprimante sur un serveur d’impression.
