Microsoft a officiellement confirmé jeudi que la vulnérabilité d’exécution de code à distance (RCE) « PrintNightmare » affectant Windows Print Spooler est différente du problème résolu par la société dans le cadre de sa mise à jour Patch Tuesday publiée plus tôt ce mois-ci, tout en avertissant qu’elle a détecté des tentatives d’exploitation ciblant la faille.
L’entreprise suit la faille de sécurité sous l’identifiant CVE-2021-34527.
« Une vulnérabilité d’exécution de code à distance existe lorsque le service Windows Print Spooler exécute de manière incorrecte des opérations de fichiers privilégiés », a déclaré Microsoft dans son avis. « Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec tous les droits d’utilisateur. »
« Une attaque doit impliquer un utilisateur authentifié appelant RpcAddPrinterDriverEx() », a ajouté la société basée à Redmond.
Cette reconnaissance intervient après que des chercheurs de la société de cybersécurité basée à Hong Kong Sangfor ont publié une analyse technique approfondie d’une faille RCE du spouleur d’impression sur GitHub, ainsi qu’un code PoC entièrement fonctionnel, avant qu’il ne soit supprimé quelques heures seulement après son apparition.
Les divulgations ont également déclenché des spéculations et des débats sur la question de savoir si le correctif de juin protège ou non contre la vulnérabilité RCE, avec le centre de coordination du CERT. notant que « bien que Microsoft ait publié une mise à jour pour CVE-2021-1675, il est important de réaliser que cette mise à jour ne protège PAS les contrôleurs de domaine Active Directory ou les systèmes sur lesquels Pointer et imprimer est configuré avec l’option NoWarningNoElevationOnInstall configurée ».
CVE-2021-1675, initialement classée comme une vulnérabilité d’élévation de privilèges et plus tard révisée en RCE, a été corrigée par Microsoft le 8 juin 2021.
La société, dans son avis, a noté que PrintNightmare est distinct de CVE-2021-1675 pour des raisons que ce dernier résout une vulnérabilité distincte dans RpcAddPrinterDriverEx() et que le vecteur d’attaque est différent.
Comme solutions de contournement, Microsoft recommande aux utilisateurs de désactiver le service Spouleur d’impression ou de désactiver l’impression à distance entrante via la stratégie de groupe. Nous avons contacté l’entreprise pour obtenir des commentaires, et nous mettrons à jour l’histoire lorsque nous aurons une réponse.