vendredi 2 juillet 2021
Cette alerte annule et remplace l’alerte CERT-FR CERTFR-2021-ALE-013.
Le 29 juin 2021, deux chercheurs ont présenté une façon d’exploiter une vulnérabilité affectant le spouleur d’impression (print spooler) et permettant une exécution de code à distance, entraînant une élévation de privilèges avec les droits SYSTEM.
Le 1er juillet 2021, Microsoft a publié un avis de sécurité indiquant que cette vulnérabilité « jour zéro » (zero day) est différente de la vulnérabilité CVE-2021-1675 initialement corrigée lors du Patch Tuesday du 09 juin 2021.
Cette nouvelle vulnérabilité, CVE-2021-34527, affecte le spouleur d’impression (print spooler) qui est un composant du système d’exploitation Windows activé par défaut. Elle permet à un attaquant d’exécuter du code arbitraire à distance avec les droits SYSTEM.
Des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.
Ces codes exploitent la possibilité offerte par le service spouleur d’impression de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Ce service étant activé par défaut, tout système Windows est donc actuellement vulnérable, avec la possibilité d’une exploitation à distance.
En particulier, au sein d’un système d’information Microsoft, les contrôleurs de domaine Active Directory sont particulièrement exposés, puisqu’un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de niveau “administrateur de domaine” Active Directory.
Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande fortement de réaliser les actions suivantes :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
SOLUTION
INFORMATIONS D’AIDE À LA DÉTECTION SYSTÈME
SYSTÈMES AFFECTÉS
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
MAJ 9 Juil 2021 – Windows Print Spooler : une vulnérabilité appelée PrintNightmare
Mettez à jour toutes les versions de Windows immédiatement pour corriger les vulnérabilités CVE-2021-1675 et CVE-2021-34527 dans le service Windows Print Spooler.
…/…
Comment protéger votre infrastructure contre PrintNightmare
La première chose à faire pour empêcher l’exploit de PrintNightmare est d’installer tous les correctifs publiés par Microsoft en juin et en juillet. Si vous ne pouvez pas installer les correctifs, vous trouverez également sur la dernière page quelques méthodes alternatives– dont l’une d’entre elles n’implique pas de désactiver Windows Print Spooler.
Ceci dit, nous recommandons fortement de désactiver Windows Print Spooler sur les appareils qui n’en ont pas besoin, ce qui est le cas notamment des serveurs des contrôleurs de domaine : il est très peu probable qu’ils aient besoin de la fonction d’impression.
De plus, chaque ordinateur et serveur doit posséder des solutions de sécurité des terminaux fiables afin d’empêcher les tentatives d’exploitation des vulnérabilités connues et inconnues, dont PrintNightmare.
Lire l’intégralité de l’article sur :
Cette alerte annule et remplace l’alerte CERT-FR CERTFR-2021-ALE-013.
Le 29 juin 2021, deux chercheurs ont présenté une façon d’exploiter une vulnérabilité affectant le spouleur d’impression (print spooler) et permettant une exécution de code à distance, entraînant une élévation de privilèges avec les droits SYSTEM.
Le 1er juillet 2021, Microsoft a publié un avis de sécurité indiquant que cette vulnérabilité « jour zéro » (zero day) est différente de la vulnérabilité CVE-2021-1675 initialement corrigée lors du Patch Tuesday du 09 juin 2021.
Cette nouvelle vulnérabilité, CVE-2021-34527, affecte le spouleur d’impression (print spooler) qui est un composant du système d’exploitation Windows activé par défaut. Elle permet à un attaquant d’exécuter du code arbitraire à distance avec les droits SYSTEM.
Des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.
Ces codes exploitent la possibilité offerte par le service spouleur d’impression de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Ce service étant activé par défaut, tout système Windows est donc actuellement vulnérable, avec la possibilité d’une exploitation à distance.
En particulier, au sein d’un système d’information Microsoft, les contrôleurs de domaine Active Directory sont particulièrement exposés, puisqu’un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de niveau “administrateur de domaine” Active Directory.
Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande fortement de réaliser les actions suivantes :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
SOLUTION
INFORMATIONS D’AIDE À LA DÉTECTION SYSTÈME
SYSTÈMES AFFECTÉS
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
MAJ 9 Juil 2021 – Windows Print Spooler : une vulnérabilité appelée PrintNightmare
Mettez à jour toutes les versions de Windows immédiatement pour corriger les vulnérabilités CVE-2021-1675 et CVE-2021-34527 dans le service Windows Print Spooler.
…/…
Comment protéger votre infrastructure contre PrintNightmare
La première chose à faire pour empêcher l’exploit de PrintNightmare est d’installer tous les correctifs publiés par Microsoft en juin et en juillet. Si vous ne pouvez pas installer les correctifs, vous trouverez également sur la dernière page quelques méthodes alternatives– dont l’une d’entre elles n’implique pas de désactiver Windows Print Spooler.
Ceci dit, nous recommandons fortement de désactiver Windows Print Spooler sur les appareils qui n’en ont pas besoin, ce qui est le cas notamment des serveurs des contrôleurs de domaine : il est très peu probable qu’ils aient besoin de la fonction d’impression.
De plus, chaque ordinateur et serveur doit posséder des solutions de sécurité des terminaux fiables afin d’empêcher les tentatives d’exploitation des vulnérabilités connues et inconnues, dont PrintNightmare.
Lire l’intégralité de l’article sur :
Cette alerte annule et remplace l’alerte CERT-FR CERTFR-2021-ALE-013.
Le 29 juin 2021, deux chercheurs ont présenté une façon d’exploiter une vulnérabilité affectant le spouleur d’impression (print spooler) et permettant une exécution de code à distance, entraînant une élévation de privilèges avec les droits SYSTEM.
Le 1er juillet 2021, Microsoft a publié un avis de sécurité indiquant que cette vulnérabilité « jour zéro » (zero day) est différente de la vulnérabilité CVE-2021-1675 initialement corrigée lors du Patch Tuesday du 09 juin 2021.
Cette nouvelle vulnérabilité, CVE-2021-34527, affecte le spouleur d’impression (print spooler) qui est un composant du système d’exploitation Windows activé par défaut. Elle permet à un attaquant d’exécuter du code arbitraire à distance avec les droits SYSTEM.
Des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.
Ces codes exploitent la possibilité offerte par le service spouleur d’impression de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Ce service étant activé par défaut, tout système Windows est donc actuellement vulnérable, avec la possibilité d’une exploitation à distance.
En particulier, au sein d’un système d’information Microsoft, les contrôleurs de domaine Active Directory sont particulièrement exposés, puisqu’un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de niveau “administrateur de domaine” Active Directory.
Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande fortement de réaliser les actions suivantes :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
SOLUTION
INFORMATIONS D’AIDE À LA DÉTECTION SYSTÈME
SYSTÈMES AFFECTÉS
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
MAJ 9 Juil 2021 – Windows Print Spooler : une vulnérabilité appelée PrintNightmare
Mettez à jour toutes les versions de Windows immédiatement pour corriger les vulnérabilités CVE-2021-1675 et CVE-2021-34527 dans le service Windows Print Spooler.
…/…
Comment protéger votre infrastructure contre PrintNightmare
La première chose à faire pour empêcher l’exploit de PrintNightmare est d’installer tous les correctifs publiés par Microsoft en juin et en juillet. Si vous ne pouvez pas installer les correctifs, vous trouverez également sur la dernière page quelques méthodes alternatives– dont l’une d’entre elles n’implique pas de désactiver Windows Print Spooler.
Ceci dit, nous recommandons fortement de désactiver Windows Print Spooler sur les appareils qui n’en ont pas besoin, ce qui est le cas notamment des serveurs des contrôleurs de domaine : il est très peu probable qu’ils aient besoin de la fonction d’impression.
De plus, chaque ordinateur et serveur doit posséder des solutions de sécurité des terminaux fiables afin d’empêcher les tentatives d’exploitation des vulnérabilités connues et inconnues, dont PrintNightmare.
Lire l’intégralité de l’article sur :