Dois-je m’inquiéter de PrintNightmare?

Les équipes de sécurité évaluent le potentiel de compromission par une vulnérabilité d’exécution de code à distance (RCE) dans Windows Print Spooler après que le code de preuve de concept (PoC) pour le bogue – répertorié comme CVE-2021-1675 et surnommé PrintNightmare – a été publié sur GitHub à la fin du mois de juin par des chercheurs de Sangfor basé en Chine.

La publication du code était apparemment quelque peu accidentelle de la part de Sangfor. Selon les rapports, l’équipe Sangfor a précipité la publication du PoC après qu’une autre entreprise a publié un fichier .gif montrant un exploit pour CVE-2021-1675.

Boris Larin, chercheur principal en sécurité chez GReAT de Kaspersky, a expliqué la situation: « Les chercheurs Zhiniang Peng et Xuefeng Li ont publié l’exploit PrintNightmare sur leur compte Twitter mardi, ainsi qu’une annonce de leur prochaine présentation Black Hat. Apparemment, les chercheurs l’ont fait par erreur, en supposant que la vulnérabilité utilisée dans leur exploit a été patché comme CVE-2021-1675, et que le correctif pour elle a été publié le 8 Juin.

« Cela s’est avéré ne pas être le cas [as] le correctif pour CVE-2021-1675 a corrigé une autre vulnérabilité, et l’exploit PrintNightmare s’est avéré être un exploit zero-day sans correctif de sécurité disponible », a déclaré Larin.

CVE-2021-1675 a été divulgué pour la première fois dans juin Patch Tuesday drop de Microsoft, mais a été initialement pensé pour être une vulnérabilité d’escalade de privilèges relativement faible impact qui pourrait être utilisée pour exécuter du code en tant qu’administrateur sur un système cible exécutant Windows Print Spooler.

Cependant, le 21 juin, Microsoft l’a reclassé comme une vulnérabilité RCE et l’a fait passer de gravité faible à critique. Cela a compliqué une situation déjà quelque peu tendue, et signifie en outre que l’absence d’un patch est plus préoccupante qu’elle ne pourrait l’être autrement.

Heureusement, John Hammond de Huntress, un fournisseur de plate-forme de sécurité basé aux États-Unis, a déclaré qu’il existait une autre option pour les défenseurs: « Une solution temporaire et pansement consiste à désactiver le service Print Spooler. »

Hammond a ajouté que tant que la désactivation de Print Spooler est appropriée – elle peut avoir des effets secondaires indésirables dans certaines situations – c’est heureusement un travail assez facile et peut être fait sur une seule machine avec quelques commandes PowerShell. Plus de détails sont disponibles ici.

Spouleur d’impression est un service Windows natif intégré qui est activé par défaut sur les machines Windows pour gérer les imprimantes et les serveurs d’impression, et est donc répandu dans les domaines informatiques d’entreprise.

Des vulnérabilités y ont souvent été trouvées au fil des ans et peuvent être très efficaces – en effet, une vulnérabilité de spouleur d’impression a ouvert la porte à l’incident tristement célèbre de Stuxnet.

Jan Vojtěšek, chercheur sur les logiciels malveillants chez Avast, a déclaré: « Cette vulnérabilité pourrait permettre à un attaquant distant de prendre complètement le contrôle d’une machine Windows. Il pourrait également être utilisé par un attaquant pour obtenir plus de privilèges sur une machine à laquelle ils ont déjà un accès limité.

« Ce qui rend cette vulnérabilité extrêmement dangereuse, c’est la combinaison des faits qu’elle n’est pas corrigée à l’heure actuelle et qu’il existe un exploit poC public. Tout attaquant peut désormais tenter d’exploiter cette vulnérabilité pour lui permettre d’effectuer des actions malveillantes. Cela met beaucoup de pression sur Microsoft, qui devrait maintenant publier le correctif dès que possible pour empêcher les attaquants d’exploiter cette vulnérabilité », a déclaré Vojtěšek.

Larin de Kaspersky a ajouté: « La vulnérabilité est sans aucun doute grave car elle vous permet d’élever des privilèges sur l’ordinateur local ou d’accéder à d’autres ordinateurs au sein du réseau de l’organisation. Dans le même temps, cette vulnérabilité est généralement moins dangereuse que, par exemple, les récentes vulnérabilités zero-day dans Microsoft Exchange, principalement parce que pour exploiter PrintNightmare, les attaquants doivent déjà être sur le réseau d’entreprise.

Cela, heureusement pour les défenseurs, signifie qu’il est probablement peu probable que PrintNightmare devienne un vecteur de cyberattaques généralisées. Néanmoins, en plus de désactiver Print Spooler jusqu’à ce qu’un correctif soit confirmé comme disponible, les équipes de sécurité seraient bien avisées de renforcer leurs défenses générales, de prêter attention à la sensibilisation des employés, de vérifier qu’il existe une bonne hygiène autour des informations d’identification et de s’assurer que les données détenues par l’organisation sont bien protégées.