Serveur d'impression

Des failles critiques dans le service de spouleur d'impression Windows pourraient permettre des attaques à distance – Bien choisir son serveur d impression

Le 8 août 2021 - 6 minutes de lecture


Les administrateurs sont invités à appliquer les derniers correctifs de Microsoft et à désactiver le service de spouleur d'impression Windows dans les contrôleurs de domaine et les systèmes non utilisés pour l'impression.

security.jpg

Image : iStock/weerapatkiatdumrong

Mise à jour le 7 juillet 2021 : Microsoft a déployé un correctif d'urgence pour la faille critique PrintNightmare. Le correctif est disponible pour presque toutes les versions de Windows, même Windows 7.

Microsoft est aux prises avec quelques failles de sécurité dans son service de spouleur d'impression Windows qui pourraient permettre aux attaquants de contrôler à distance un système affecté. Toute personne capable d'exploiter la vulnérabilité la plus récente des deux serait en mesure d'exécuter du code sur l'ordinateur compromis avec tous les privilèges système. Cet attaquant pourrait alors installer un logiciel, modifier des données et créer de nouveaux comptes d'utilisateurs, selon Microsoft.

Les failles affectent toutes les versions de Windows pour les clients et les serveurs, y compris Windows 7, 8.1 et 10, ainsi que Server 2004, 2008, 2012, 2016 et 2019.

VOIR: Les 10 cyberattaques les plus importantes de la décennie (PDF gratuit) (TechRepublic)

La situation est confuse car elle implique deux failles différentes, dont l'une a été corrigée et l'autre en attente de correction. Connue sous le nom de CVE-2021-1675, la première faille a été résolue via les mises à jour de sécurité de Microsoft de juin 2021. Il est conseillé aux utilisateurs et administrateurs qui n'ont pas encore appliqué les mises à jour de juin de le faire pour corriger cette vulnérabilité.

Baptisée CVE-2021-34527, la deuxième faille est similaire à la première en ce qu'elle pointe vers une faille de sécurité dans le service de spouleur d'impression Windows. Mais celui-ci, surnommé PrintNightmare, implique un problème dans RpcAddPrinterDriverEx(), une fonction qui permet aux utilisateurs d'installer ou de mettre à jour un pilote d'imprimante sur le serveur d'impression. CVE-2021-34527 est la faille qui pourrait permettre à un attaquant d'exécuter du code sur un PC compromis pour ensuite installer des programmes, modifier des données et créer de nouveaux comptes.

Avec cette deuxième vulnérabilité, les contrôleurs de domaine sont impactés si le service de spouleur d'impression est activé. Cependant, les ordinateurs clients et serveurs Windows qui ne sont pas des contrôleurs de domaine peuvent également être affectés si Pointer et imprimer est activé ou si le groupe Utilisateurs authentifiés est imbriqué dans un autre groupe de la section d'atténuation.

Au moment d'écrire ces lignes, au début du 6 juillet 2021, il n'y avait pas encore de correctif pour CVE-2021-34527, Microsoft et la Cybersecurity and Infrastructure Security Agency (CISA) encouragent les administrateurs à désactiver le service de spouleur d'impression Windows dans les contrôleurs de domaine. et les systèmes non utilisés pour l'impression. Une note de vulnérabilité du centre de coordination CERT explique deux options pour désactiver le service de spouleur d'impression, une pour un ordinateur individuel et une autre pour votre domaine via la stratégie de groupe.

Option 1 – Arrêter et désactiver le service Spouleur d'impression

  1. Ouvrir une invite PowerShell
  2. Exécutez la commande : Stop-Service -Name Spooler -Force
  3. Exécutez ensuite la commande : Set-Service -Name Spooler -StartupType Disabled

Option 2 – Désactiver l'impression à distance entrante via la stratégie de groupe

  1. Ouvrir la stratégie de groupe
  2. Accédez à Configuration ordinateur/Modèles administratifs/Imprimantes
  3. Désactivez le paramètre "Autoriser le spouleur d'impression à accepter les connexions client"

Dans ce cas, les ordinateurs concernés ne pourront plus fonctionner en tant que serveurs d'impression, bien que vous puissiez toujours imprimer localement sur une imprimante connectée.

"Ces vulnérabilités, en particulier CVE-2021-34527, sont extrêmement graves", a déclaré Jake Williams, co-fondateur et CTO de la société de réponse aux incidents BreachQuest. « Lors des tests dans le laboratoire BreachQuest, nous avons pu passer d'un contexte d'utilisateur normal à des autorisations complètes d'administrateur de domaine rapidement sans aucune trace concluante de l'exploit dans la journalisation par défaut.

Étant donné que les deux vulnérabilités existent dans les 40 versions différentes de Microsoft Windows, les entreprises et les consommateurs réguliers seront à risque, selon Dirk Schrader, vice-président mondial pour la recherche en sécurité chez New Net Technologies. Les attaquants pourraient infiltrer de grandes organisations pour l'extraction et le cryptage de données et infecter des utilisateurs individuels pour étendre des botnets ou lancer des réseaux de cryptomining, a déclaré Schrader, ajoutant que ce n'était qu'une question de temps avant que nous voyions les premiers exploits dans la nature.

VOIR: Politique informatique fantôme (TechRepublic Premium)

Bien sûr, la grande question est de savoir quand Microsoft publiera un correctif pour la vulnérabilité CVE-2021-34527. Répondant à une demande de commentaires de TechRepublic, la société a simplement déclaré qu'elle n'avait rien à partager au-delà de sa mise à jour de sécurité. Pour l'instant, tout ce que nous avons, c'est l'explication de Microsoft dans sa FAQ :

« Nous travaillons sur une mise à jour pour protéger contre cette vulnérabilité. Nous testons toutes les mises à jour pour garantir la qualité et la compatibilité. Nous publierons le correctif dès qu'il répondra aux normes de qualité requises pour une large distribution. »

Le prochain Patch Tuesday de Microsoft aura lieu le mardi 13 juillet. L'entreprise attendra-t-elle jusque-là pour corriger cette faille ou agira-t-elle plus tôt ? Soulignant que le correctif implique de nombreux composants hérités, ce qui le rend plus difficile à tester, Williams a déclaré qu'il ne s'attendait pas à voir un correctif hors bande, ce qui signifie qu'aucun correctif n'est probable avant le Patch Tuesday de la semaine prochaine.

Regarde aussi

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.