Dois-je m’inquiéter pour PrintNightmare ?

Les équipes de sécurité évaluent le potentiel de compromission par le biais d’un exécution de code à distance (RCE) vulnérabilité dans le spouleur d’impression Windows après le code de preuve de concept (PoC) pour le bogue – répertorié comme CVE-2021-1675 et surnommé PrintNightmare – a été publié sur GitHub fin juin par des chercheurs basés en Chine Sangfor.

La publication du code était apparemment quelque peu accidentelle de la part de Sangfor. Selon les rapports, l’équipe de Sangfor a précipité la publication du PoC après qu’une autre entreprise a publié un fichier .gif montrant un exploit pour CVE-2021-1675.

Boris Larin, chercheur principal en sécurité à Le GRAND de Kaspersky, a expliqué la situation : « Les chercheurs Zhiniang Peng et Xuefeng Li ont publié mardi l’exploit PrintNightmare sur leur compte Twitter, ainsi qu’une annonce de leur prochaine présentation Black Hat. Apparemment, les chercheurs l’ont fait par erreur, en supposant que la vulnérabilité utilisée dans leur exploit a été corrigée en tant que CVE-2021-1675, et que le correctif correspondant a été publié le 8 juin.

« Cela s’est avéré ne pas être le cas [as] le correctif pour CVE-2021-1675 a corrigé une autre vulnérabilité, et l’exploit PrintNightmare s’est avéré être un exploit zero-day sans correctif de sécurité disponible », a déclaré Larin.

CVE-2021-1675 a été divulgué pour la première fois dans Drop du mardi du patch de juin de Microsoft, mais était initialement considérée comme une vulnérabilité d’escalade de privilèges à impact relativement faible qui pourrait être utilisée pour exécuter du code en tant qu’administrateur sur un système cible exécutant Windows Print Spooler.

Cependant, le 21 juin, Microsoft l’a reclassée en tant que vulnérabilité RCE et l’a augmentée de gravité faible à critique. Cela a compliqué une situation déjà quelque peu tendue et signifie en outre que l’absence de correctif est plus préoccupante qu’elle ne pourrait l’être autrement.

Heureusement, John Hammond de chasseresse, un fournisseur de plate-forme de sécurité basé aux États-Unis, a déclaré qu’il y avait une autre option pour les défenseurs : « Une solution temporaire et de fortune consiste à désactiver le service Print Spooler. »

Hammond a ajouté que tant que la désactivation du spouleur d’impression est appropriée – cela peut avoir des effets secondaires indésirables dans certaines situations – c’est heureusement un travail assez facile et peut être effectué sur une seule machine avec quelques commandes PowerShell. Plus de détails sont disponibles ici.

Print Spooler est un service Windows intégré natif qui est activé par défaut sur les machines Windows pour gérer les imprimantes et les serveurs d’impression, et est donc répandu dans tous les domaines informatiques de l’entreprise.

Des vulnérabilités y ont souvent été trouvées au fil des ans et peuvent être très efficaces – en effet, une vulnérabilité du spouleur d’impression a ouvert la porte à le tristement célèbre incident de Stuxnet.

Jan Vojtěšek, chercheur sur les logiciels malveillants à Avast, a déclaré : « Cette vulnérabilité pourrait permettre à un attaquant distant de prendre complètement le contrôle d’une machine Windows. Il pourrait également être utilisé par un attaquant pour obtenir plus de privilèges sur une machine à laquelle il a déjà un accès limité.

«Ce qui rend cette vulnérabilité extrêmement dangereuse, c’est la combinaison du fait qu’elle n’est pas corrigée pour le moment et qu’il existe un exploit PoC public. Tout attaquant peut désormais tenter d’exploiter cette vulnérabilité pour lui permettre d’effectuer des actions malveillantes. Cela met beaucoup de pression sur Microsoft, qui devrait maintenant publier le correctif dès que possible pour empêcher les attaquants d’exploiter cette vulnérabilité », a déclaré Vojtěšek.

Larin de Kaspersky a ajouté : « La vulnérabilité est sans aucun doute sérieuse car elle vous permet d’élever des privilèges sur l’ordinateur local ou d’accéder à d’autres ordinateurs au sein du réseau de l’organisation. Dans le même temps, cette vulnérabilité est généralement moins dangereuse que, disons, les récentes vulnérabilités zero-day de Microsoft Exchange, principalement parce que pour exploiter PrintNightmare, les attaquants doivent déjà être sur le réseau de l’entreprise.

Ceci, heureusement pour les défenseurs, signifie qu’il est probablement peu probable que PrintNightmare devienne un vecteur de cyberattaques généralisées. Néanmoins, en plus de désactiver Print Spooler jusqu’à ce qu’un correctif soit confirmé, les équipes de sécurité seraient bien avisées de renforcer leurs défenses générales, de faire attention à la sensibilisation des employés, de vérifier qu’il y a une bonne hygiène autour des identifiants et de s’assurer que les l’organisation est bien protégée.