jeudi 1 juillet 2021
[version mise à jour le 30 juin 2021 à 19h20 : ajout d’informations d’aide à la détection]
Le 8 juin 2021, Microsoft publiait des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day). Une de ces vulnérabilités – la CVE-2021-1675 – affecte le service spouleur d’impression (print spooler), un composant logiciel du système d’exploitation Microsoft Windows. Cette vulnérabilité permettait initialement, selon Microsoft, une escalade de privilèges en local. Son score CVSSv3 s’élevait alors à 7.8.
Le 29 juin 2021, deux chercheurs ont présenté une nouvelle façon d’exploiter cette vulnérabilité, cette fois à distance et ce malgré le correctif proposé par Microsoft. La CVE-2021-1675 doit donc être considérée comme une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM. Son score CVSSv3 est donc amené à évoluer.
Des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.
Ces codes exploitent la possibilité offerte par le service spouleur d’impression (print spooler) de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Or, par défaut, le service spouleur d’impression (print spooler) est activé sur les contrôles de domaine Active Directory. Un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de l’administrateur de domaine Active Directory.
Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande fortement de réaliser les actions suivantes :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-013/
SYSTÈMES AFFECTÉS
[version mise à jour le 30 juin 2021 à 19h20 : ajout d’informations d’aide à la détection]
Le 8 juin 2021, Microsoft publiait des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day). Une de ces vulnérabilités – la CVE-2021-1675 – affecte le service spouleur d’impression (print spooler), un composant logiciel du système d’exploitation Microsoft Windows. Cette vulnérabilité permettait initialement, selon Microsoft, une escalade de privilèges en local. Son score CVSSv3 s’élevait alors à 7.8.
Le 29 juin 2021, deux chercheurs ont présenté une nouvelle façon d’exploiter cette vulnérabilité, cette fois à distance et ce malgré le correctif proposé par Microsoft. La CVE-2021-1675 doit donc être considérée comme une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM. Son score CVSSv3 est donc amené à évoluer.
Des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.
Ces codes exploitent la possibilité offerte par le service spouleur d’impression (print spooler) de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Or, par défaut, le service spouleur d’impression (print spooler) est activé sur les contrôles de domaine Active Directory. Un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de l’administrateur de domaine Active Directory.
Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande fortement de réaliser les actions suivantes :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-013/
SYSTÈMES AFFECTÉS
[version mise à jour le 30 juin 2021 à 19h20 : ajout d’informations d’aide à la détection]
Le 8 juin 2021, Microsoft publiait des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day). Une de ces vulnérabilités – la CVE-2021-1675 – affecte le service spouleur d’impression (print spooler), un composant logiciel du système d’exploitation Microsoft Windows. Cette vulnérabilité permettait initialement, selon Microsoft, une escalade de privilèges en local. Son score CVSSv3 s’élevait alors à 7.8.
Le 29 juin 2021, deux chercheurs ont présenté une nouvelle façon d’exploiter cette vulnérabilité, cette fois à distance et ce malgré le correctif proposé par Microsoft. La CVE-2021-1675 doit donc être considérée comme une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM. Son score CVSSv3 est donc amené à évoluer.
Des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.
Ces codes exploitent la possibilité offerte par le service spouleur d’impression (print spooler) de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Or, par défaut, le service spouleur d’impression (print spooler) est activé sur les contrôles de domaine Active Directory. Un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de l’administrateur de domaine Active Directory.
Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande fortement de réaliser les actions suivantes :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-013/
SYSTÈMES AFFECTÉS