VulnĂ©rabilitĂ© Critique Microsoft Windows “Print Nightmare” 

Le 29 juin 2021, une faille 0 day affectant les spooler d’impression Windows a Ă©tĂ© largement diffusĂ©e.

Actuellement non corrigée, cette faille critique affecte les serveurs exécutant Windows 7 et les versions ultérieures.

Un premier correctif a Ă©tĂ© publiĂ© le 08 juillet  par l’éditeur.

Quels risques pour votre activité ?

Cette faille permet d’exĂ©cuter du code Ă  distance, entraĂźnant une Ă©lĂ©vation de privilĂšges de niveau systĂšme, pour tout utilisateur ayant un compte sur l’Active Directory. 

Un attaquant pourrait installer un programme, afficher, modifier, supprimer des donnĂ©es ou crĂ©er un nouveau compte avec tous les privilĂšges administrateur. 

Ce service étant activé par défaut, tout systÚme Windows est potentiellement vulnérable.

De plus, des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnĂ©rabilitĂ© est imminente ou dĂ©jĂ  en cours.

Comment s’en protĂ©ger ?

Depuis ce jeudi 8 juillet, Microsoft recommande de sĂ©curiser le fonctionnement de la fonctionnalitĂ© « Point and Print Â» en s’assurant que, si les clĂ©s de registre existent (ce n’est pas le cas par dĂ©faut), elles sont bien dĂ©finies avec les valeurs suivantes :

  • la clĂ© de registre NoWarningNoElevationOnInstall (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) doit ĂȘtre absente ou Ă©gale Ă  0 (DWORD)
  • la clĂ© de registre NoWarningNoElevationOnUpdate (mĂȘme emplacement) doit ĂȘtre absente ou Ă©gale Ă  0 (DWORD)

Des correctifs sont désormais disponibles pour toutes les versions maintenues de Microsoft Windows.

Retrouvez sur le site de l’ANSSI une liste d’actions Ă  rĂ©aliser rapidement

Le bulletin du CERT-FR recommande Ă©galement d’appliquer le correctif sans dĂ©lai, mĂȘme si celui-ci semble corriger uniquement l’exĂ©cution de code arbitraire Ă  distance et non l’escalade de privilĂšge en local.

Attention : Il convient de noter que les versions qui ne sont plus maintenues, telles que Windows 10 Version 1903, sont affectées par la vulnérabilité mais ne seront pas corrigées.

Aussi, si le service print spooler n’est pas utilisĂ©, il convient de le dĂ©sactiver. 

Les équipes du SOC ITrust restent particuliÚrement attentives sur les périmÚtres touchés par cette CVE.

>Nos analystes supervisent les serveurs windows de nos clients et prendront si nécessaire des actions de remédiations.

>Concernant les bonnes pratiques : pensez, toujours, Ă  scanner rĂ©guliĂšrement votre rĂ©seau. Des outils comme IKare, disponible en version d’essai gratuite, automatisent le monitoring de votre SI.

Si vous avez besoin d’aide pour corriger ces failles, contactez-nous :

> Etre rappelé

>  05.67.34.67.80

>  contact@itrust.fr