VulnĂ©rabilitĂ© Critique Microsoft Windows âPrint Nightmareâ
Le 29 juin 2021, une faille 0 day affectant les spooler dâimpression Windows a Ă©tĂ© largement diffusĂ©e.
Actuellement non corrigée, cette faille critique affecte les serveurs exécutant Windows 7 et les versions ultérieures.
Un premier correctif a Ă©tĂ© publiĂ© le 08 juillet par lâĂ©diteur.
Quels risques pour votre activité ?
Cette faille permet dâexĂ©cuter du code Ă distance, entraĂźnant une Ă©lĂ©vation de privilĂšges de niveau systĂšme, pour tout utilisateur ayant un compte sur lâActive Directory.
Un attaquant pourrait installer un programme, afficher, modifier, supprimer des données ou créer un nouveau compte avec tous les privilÚges administrateur.
Ce service étant activé par défaut, tout systÚme Windows est potentiellement vulnérable.
De plus, des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que lâexploitation de cette vulnĂ©rabilitĂ© est imminente ou dĂ©jĂ en cours.
Comment sâen protĂ©ger ?
Depuis ce jeudi 8 juillet, Microsoft recommande de sĂ©curiser le fonctionnement de la fonctionnalitĂ© « Point and Print » en s’assurant que, si les clĂ©s de registre existent (ce n’est pas le cas par dĂ©faut), elles sont bien dĂ©finies avec les valeurs suivantes :
- la clĂ© de registre NoWarningNoElevationOnInstall (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) doit ĂȘtre absente ou Ă©gale Ă 0 (DWORD)
- la clĂ© de registre NoWarningNoElevationOnUpdate (mĂȘme emplacement) doit ĂȘtre absente ou Ă©gale Ă 0 (DWORD)
Des correctifs sont désormais disponibles pour toutes les versions maintenues de Microsoft Windows.
Retrouvez sur le site de lâANSSI une liste dâactions Ă rĂ©aliser rapidement
Le bulletin du CERT-FR recommande Ă©galement d’appliquer le correctif sans dĂ©lai, mĂȘme si celui-ci semble corriger uniquement l’exĂ©cution de code arbitraire Ă distance et non l’escalade de privilĂšge en local.
Attention : Il convient de noter que les versions qui ne sont plus maintenues, telles que Windows 10 Version 1903, sont affectées par la vulnérabilité mais ne seront pas corrigées.
Aussi, si le service print spooler nâest pas utilisĂ©, il convient de le dĂ©sactiver.
Les équipes du SOC ITrust restent particuliÚrement attentives sur les périmÚtres touchés par cette CVE.
>Nos analystes supervisent les serveurs windows de nos clients et prendront si nécessaire des actions de remédiations.
>Concernant les bonnes pratiques : pensez, toujours, Ă scanner rĂ©guliĂšrement votre rĂ©seau. Des outils comme IKare, disponible en version dâessai gratuite, automatisent le monitoring de votre SI.
Si vous avez besoin d’aide pour corriger ces failles, contactez-nous :
> 05.67.34.67.80
> contact@itrust.fr