Bulletins

Un patch urgent pour la vulnérabilité PrintNightmare

bs1.jpg

Microsoft a publié une mise à jour de sécurité urgente pour corriger la vulnérabilité Zero day connue sous le nom de "PrintNightmare", qui affecte le service Spooler d'impression de Windows et peut permettre à des acteurs malveillants distants d'exécuter du code arbitraire et de prendre le contrôle de systèmes vulnérables.

Repérée sous le nom de CVE-2021-34527 (score CVSS : 8.8), la faille d'exécution de code à distance affecte toutes les éditions de Windows prises en charge. La semaine dernière, l'entreprise a signalé qu'elle avait détecté des tentatives d'exploitation actives de cette vulnérabilité.

PrintNightmare comprend à la fois un vecteur d'exécution de code à distance et un vecteur d'élévation de privilèges locaux qui peuvent être exploités dans des attaques visant à exécuter des commandes avec les privilèges SYSTEM sur les machines Windows ciblées.

"La mise à jour de Microsoft pour CVE-2021-34527 semble seulement traiter les variantes d'exécution de code à distance (RCE via SMB et RPC) du PrintNightmare, et non la variante d’élévation de privilèges locaux (LPE)", a déclaré Will Dormann, analyste de vulnérabilités du CERT/CC.

Cela signifie que le correctif incomplet peut toujours être utilisé par un adversaire local pour obtenir les privilèges du système. Comme solution de contournement, Microsoft recommande d'arrêter et de désactiver le service Print Spooler ou de désactiver l'impression à distance entrante via la stratégie de groupe pour bloquer les attaques à distance.

Compte tenu de la criticité de la faille, Microsoft a publié des correctifs pour :

  • Windows Server 2019.
  • Windows Server 2012 R2.
  • Windows Server 2008.
  • Windows 8.1.
  • Windows RT 8.1.
  • Windows 10 (versions 21H1, 20H2, 2004, 1909, 1809, 1803, et 1507).

Microsoft a même pris la décision inhabituelle de publier le correctif pour Windows 7, qui a officiellement atteint la fin du support à partir de janvier 2020.

La mise à jour ne concerne toutefois pas Windows 10 version 1607, Windows Server 2012 ou Windows Server 2016, pour lesquels l’entreprise a déclaré que des correctifs seraient publiés dans les prochains jours.