Connect with us

Technologie

PrintNightmare hante Microsoft car le patch peut manquer la marque

Published

on


Microsoft a publié un correctif hors bande rare sur 7 Juillet pour corriger la soi-disant vulnérabilité PrintNightmare, mais semble avoir échoué à résoudre certains aspects fondamentaux du bug Windows Print Spooler, ce qui signifie que même les systèmes entièrement patchés peuvent encore être à risque, selon les chercheurs.

Le contexte de la saga quelque peu déroutante est donc: Microsoft avait d’abord patché CVE-2021-1675, comme une vulnérabilité d’escalade de privilèges locaux relativement peu prioritaire dans la chute de Patch Tuesday de juin, mais il est venu à l’avant-plan la semaine dernière lorsque deux chercheurs chinois, préoccupés par le fait que leurs rivaux obtenaient le saut sur leurs recherches, a publié une preuve de concept (PoC) exploiter pour ce qu’ils croyaient être CVE-2021-1675. Ce n’était pas le cas; en fait, les chercheurs avaient exposé un RCE zero-day beaucoup plus dangereux, CVE-2021-34527, pour lequel aucun correctif n’était disponible.

Presque immédiatement après la chute du correctif, les professionnels de la sécurité ont déclaré qu’ils avaient constaté que, bien que le correctif ait abordé le composant RCE de PrintNightmare assez bien, il n’a pas réussi à couvrir les utilisateurs contre LPE dans certaines situations spécifiques – ce qui signifie qu’un attaquant déjà sur le réseau pouvait toujours faire des ravages s’il le voulait. En effet, le patch semble être incomplet.

John Hammond de Huntress a déclaré qu’à ce jour, la firme n’avait pas vu un scénario de correctif qui englobait la prévention de LPE, empêchant RCE, et surtout pour les utilisateurs, leur permettait d’imprimer normalement.

De plus, le correctif ne traite pas encore de divers systèmes Microsoft, à savoir Windows 10 version 1607, Windows Server 2012 et Windows Server 2016. Microsoft a déclaré qu’il s’agissait d’un choix intentionnel.

Dans un billet de blog, Redmond a déclaré: « Certains paquets ne sont pas tout à fait prêts pour la sortie. Nous pensons qu’il est important de fournir des mises à jour de sécurité le plus rapidement possible pour les systèmes que nous pouvons protéger en toute confiance aujourd’hui.

Quelle que soit l’efficacité du correctif, les utilisateurs sont toujours mieux avisés de le télécharger et de l’appliquer, même si cela peut perturber quelque peu les horaires de l’équipe de sécurité autour de la baisse du patch tuesday de juillet, qui se produira le 13 juillet.

Satnam Narang, ingénieur de recherche du personnel tenable, a déclaré que PrintNightmare méritait une attention immédiate en raison de l’omniprésence de Windows Print Spooler, et que les attaquants prospects pourraient exploiter la faille pour prendre le contrôle d’un contrôleur de domaine.

« Bien que nous ne sachions pas avec certitude pourquoi Microsoft a choisi de publier cela en tant que correctif hors bande, nous soupçonnons que la disponibilité d’un certain nombre de scripts d’exploitation de preuve de concept ainsi que des rapports d’exploitation sauvage ont contribué à cette décision », a-t-il déclaré. « Nous nous attendons à ce que ce ne soit qu’une question de temps avant qu’il ne soit plus largement incorporé dans les boîtes à outils d’attaquants.

« PrintNightmare restera un exploit précieux pour les cybercriminels tant qu’il existe des systèmes non corrigés et, comme nous le savons, les vulnérabilités non corrigées ont une longue durée de vie pour les attaquants.

« Maintenant que Microsoft a publié des correctifs, les organisations sont fortement encouragées à appliquer les correctifs dès que possible, d’autant plus que les attaquants intègrent des scripts d’exploitation PoC facilement disponibles dans leurs boîtes à outils », a déclaré Narang à Computer Weekly dans des commentaires envoyés par courrier électronique.

Tim Mackey, stratège principal en sécurité au Synopsys CyRC (Cybersecurity Research Centre), a convenu: « Chaque fois qu’il y a une nouvelle divulgation de sécurité, il faut supposer que la connaissance de la façon d’exploiter les faiblesses de la divulgation est connue.

« Il faut également comprendre qu’une fois que l’information est publiée en ligne, elle sera clonée ou copiée par quelqu’un d’autre. Les PoC des problèmes de sécurité exploitables sont généralement publiés après la divulgation de sécurité et les correctifs associés sont rendus publics.

« La publication est un processus normal, car ces détails peuvent permettre à d’autres chercheurs en sécurité d’identifier d’autres chemins d’exploitation qui pourraient également nécessiter des correctifs. Pour les utilisateurs, la meilleure chose qu’ils puissent faire pour éviter d’être victimes est de corriger rapidement leurs systèmes Windows », a-t-il déclaré.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance