PrintNightmare hante Microsoft alors que le correctif peut manquer la marque

Microsoft a publié un rare correctif hors bande le 7 juillet pour corriger la soi-disant vulnérabilité PrintNightmare, mais semble avoir échoué à résoudre certains aspects fondamentaux du bogue du spouleur d’impression Windows, ce qui signifie que même les systèmes entièrement corrigés peuvent toujours être menacés, selon les chercheurs.

Le contexte de la saga quelque peu déroutant est le suivant : Microsoft avait d’abord corrigé CVE-2021-1675, en tant que vulnérabilité d’escalade de privilèges locale de priorité relativement faible. dans le Patch Tuesday de juin, mais il a pris de l’importance la semaine dernière lorsque deux chercheurs chinois, préoccupés par le fait que leurs rivaux prenaient le pas sur leurs recherches, ont publié un exploit de preuve de concept (PoC) pour ce qu’ils pensaient être CVE-2021-1675. Ce n’était pas; en fait, les chercheurs avaient exposé un RCE zero-day beaucoup plus dangereux, CVE-2021-34527, pour lequel aucun correctif n’était disponible.

Presque immédiatement après la suppression du correctif, les professionnels de la sécurité ont déclaré avoir constaté que, bien que le correctif résolve assez bien le composant RCE de PrintNightmare, il ne couvre pas les utilisateurs contre LPE. dans certaines situations particulières – ce qui signifie qu’un attaquant déjà sur le réseau pourrait toujours faire des ravages s’il le voulait. En effet, le patch semble incomplet.

John Hammond de la chasseuse a déclaré qu’à ce jour, la société n’avait pas vu de scénario de correctif englobant la prévention du LPE, du RCE et, plus important encore, pour les utilisateurs, leur permettant d’imprimer normalement.

De plus, le correctif ne concerne pas encore divers systèmes Microsoft, à savoir Windows 10 version 1607, Windows Server 2012 et Windows Server 2016. Microsoft a déclaré qu’il s’agissait d’un choix intentionnel.

Dans un article de blog, Redmond a déclaré: « Certains packages ne sont pas tout à fait prêts à être publiés. Nous pensons qu’il est important de fournir des mises à jour de sécurité aussi rapidement que possible pour les systèmes que nous pouvons protéger en toute confiance aujourd’hui.

Indépendamment de l’efficacité du correctif, les utilisateurs sont toujours mieux avisés de le télécharger et de l’appliquer, même si cela peut perturber quelque peu les horaires de l’équipe de sécurité autour de la sortie du Patch Tuesday de juillet, qui aura lieu le 13 juillet.

Défendable L’ingénieur de recherche Satnam Narang a déclaré que PrintNightmare méritait une attention immédiate en raison de l’omniprésence de Windows Print Spooler et que les attaquants potentiels pourraient exploiter la faille pour prendre le contrôle d’un contrôleur de domaine.

« Bien que nous ne sachions pas avec certitude pourquoi Microsoft a choisi de publier cela en tant que correctif hors bande, nous soupçonnons la disponibilité d’un certain nombre de scripts d’exploit de preuve de concept ainsi que des rapports d’exploitation dans la nature ont contribué à cette décision », a-t-il déclaré. “Nous pensons que ce ne sera qu’une question de temps avant qu’il ne soit plus largement intégré dans les boîtes à outils des attaquants.

« PrintNightmare restera un exploit précieux pour les cybercriminels tant qu’il y aura des systèmes non corrigés, et comme nous le savons, les vulnérabilités non corrigées ont une longue durée de vie pour les attaquants.

“Maintenant que Microsoft a publié des correctifs, les organisations sont fortement encouragées à appliquer les correctifs dès que possible, d’autant plus que les attaquants intègrent des scripts d’exploit PoC facilement disponibles dans leurs boîtes à outils”, a déclaré Narang à Computer Weekly dans des commentaires par courrier électronique.

Tim Mackey, stratège principal en sécurité au Synopsis CyRC (Cybersecurity Research Centre), a convenu : « Chaque fois qu’il y a une nouvelle divulgation de sécurité, il faut supposer que la connaissance de la façon d’exploiter les faiblesses de la divulgation est connue.

« Il faut également comprendre qu’une fois l’information publiée en ligne, elle sera clonée ou copiée par quelqu’un d’autre. Les PoC des problèmes de sécurité exploitables sont généralement publiés après la divulgation de la sécurité et les correctifs associés sont rendus publics.

« La publication est un processus normal car ces détails peuvent permettre à d’autres chercheurs en sécurité d’identifier d’autres chemins d’exploitation qui pourraient également nécessiter des correctifs. Pour les utilisateurs, la meilleure chose à faire pour éviter d’être victime est de corriger rapidement leurs systèmes Windows », a-t-il déclaré.