Origine: bjCSIRT
Numéro: 2021/ALERTE/029
Date de l’alerte: 02/07/2021
APERÇU :
Microsoft a publié en début du mois de juin 2021, des mises à jour de sécurité concernant plusieurs vulnérabilités critiques dont l’une concerne l’exécution de code à distance sur son système d’exploitation Windows. Un exploit concernant une vulnérabilité existante dans Windows Print Spooler, a récemment été publiée.
DESCRIPTION :
Windows Print Spooler est un programme de Microsoft Windows qui est chargé de gérer tous les travaux d’impression envoyés à une imprimante ou à un serveur d’impression. Ce programme d’impression permet à un utilisateur de gérer les tâches d’impression. Windows Print Spooler gère non seulement le processus d’impression sous Windows, mais aussi le chargement des pilotes d’imprimante appropriés et la planification du travail d’impression. Les failles d’impression sont préoccupantes, non seulement en raison de la large surface d’attaque, mais également du fait qu’il fonctionne avec le niveau de privilège le plus élevé et est capable de charger dynamiquement des binaires tiers.
La vulnérabilité libellée CVE-2021-1675 et corrigée récemment par Windows en début de mois de juin 2021, pourrait donner aux attaquants distants le contrôle total des systèmes vulnérables. Une autre faille critique d’exécution de code à distance libellée CVE-2021-34527, est également activement exploitée. Le service Print Spooler doit être désactivé sur tous les contrôleurs de domaine et les systèmes d’administration Active Directory via un objet de stratégie de groupe en raison de l’exposition accrue aux attaques. Il doit être désactivé sur tous les systèmes qui n’utilisent pas les services d’impression.
IMPACT :
- Compromission totale du système
- Exécution de code à distance
SYSTEMES AFFECTÉS :
Tous les systèmes Microsoft Windows ne disposant pas des mises à jour de sécurité de Juin 2021 (Windows Server : 2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2 et Windows : 7, 8.1, RT 8.1, 10).
MESURES À PRENDRE :
- Installer les mises à jour de sécurité de Juin 2021
- Désactiver Windows Print Spooler sur les systèmes qui ne l’utilisent pas
REFERENCES :
- https://threatpost.com/poc-exploit-windows-print-spooler-bug/167430/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
- https://thehackernews.com/2021/06/researchers-leak-poc-exploit-for.html
- https://www.bleepingcomputer.com/news/security/cisa-disable-windows-print-spooler-on-servers-not-used-for-printing/
- https://www.zdnet.com/article/microsoft-adds-second-cve-for-printnightmare-remote-code-execution/
- https://thehackernews.com/2021/07/microsoft-warns-of-critical.html