Update 09 juillet :
et
https://podalirius.net/fr/articles/windows-hardening-disabling-the-print-spooler/
Mettez vos serveurs et vos postes de travail à jour dès que possible !
| ||
Le 30 juin 2021, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis un avertissement concernant PrintNightmare, une vulnérabilité zero-day affectant tous les spouleurs d'impression des versions actuelles de Microsoft Windows.
PrintNightmare peut permettre à un cybercriminel d'exécuter un code à distance sur n'importe quel système Windows, y compris les contrôleurs de domaine. Une attaque réussie pourrait donc donner le contrôle complet d'un système vulnérable. Sur un contrôleur de domaine, l’attaquant aurait un contrôle total sur le réseau, y compris la possibilité de créer de nouveaux comptes de niveau administratif sur les domaines. Pour cette raison, cette vulnérabilité pourrait être utilisée pour des attaques de type APT.
Aucune attaque active n’a été rapportée pour le moment et il n'y a pas de correctif actuellement disponible. La seule chose que les clients de Microsoft Windows peuvent faire est de désactiver manuellement le spouleur d'impression comme recommandé par la CISA (cela entrainera aussi la désactivation de l'impression) et se tenir prêts à déployer une mise à jour de sécurité dès qu'elle sera disponible.
Il semble que cette vulnérabilité ait été accidentellement révélée lorsque les chercheurs en sécurité qui ont découvert la vulnérabilité, Sangfor, ont cru à tort qu'une autre société de sécurité l'avait déjà divulguée et publiée.
Jan Vojtěšek, Chercheur en Malware chez Avast, explique :
« Ce composant d’impression a déjà eu un certain nombre de vulnérabilités de sécurité au fil des ans. Cette faille pourrait permettre à un attaquant de prendre complètement le contrôle d'une machine Windows à distance, ou d’agir plus largement sur une machine à laquelle il a déjà un accès limité. | ||
Microsoft devrait publier le correctif dès que possible pour empêcher les attaquants d'exploiter cette vulnérabilité. Il est recommandé d'appliquer le correctif dès qu'il sera disponible. Ceux qui souhaitent prendre des précautions supplémentaires peuvent désactiver le service de spouleur d'impression en attendant. Cela peut être fait en ouvrant l'onglet Services dans Configuration système, en décochant Spouleur d'impression, en cliquant sur OK, puis en redémarrant l'ordinateur. Cependant, cela pourrait également limiter la capacité des utilisateurs à utiliser l'imprimante. » | Ce qui rend cette vulnérabilité extrêmement dangereuse, c'est la combinaison du fait qu'elle ne soit pas encore corrigée pour le moment et qu'il existe un PoC (proof of concept) d'exploit. Tout attaquant peut désormais tenter d'exploiter cette vulnérabilité dans un but malveillant. |