🚨 ALERTE SOC Niveau 1 – Vulnérabilité Critique Microsoft Windows “Print Nightmare”

Vulnérabilité Critique Microsoft Windows “Print Nightmare” 

Le 29 juin 2021, une faille 0 day affectant les spooler d’impression Windows a été largement diffusée.

Actuellement non corrigée, cette faille critique affecte les serveurs exécutant Windows 7 et les versions ultérieures.

Un premier correctif a été publié le 08 juillet  par l’éditeur.

Quels risques pour votre activité ?

Cette faille permet d’exécuter du code à distance, entraînant une élévation de privilèges de niveau système, pour tout utilisateur ayant un compte sur l’Active Directory. 

Un attaquant pourrait installer un programme, afficher, modifier, supprimer des données ou créer un nouveau compte avec tous les privilèges administrateur. 

Ce service étant activé par défaut, tout système Windows est potentiellement vulnérable.

De plus, des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.

Comment s’en protéger ?

Depuis ce jeudi 8 juillet, Microsoft recommande de sécuriser le fonctionnement de la fonctionnalité « Point and Print » en s’assurant que, si les clés de registre existent (ce n’est pas le cas par défaut), elles sont bien définies avec les valeurs suivantes :

• la clé de registre NoWarningNoElevationOnInstall (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) doit être absente ou égale à 0 (DWORD)
• la clé de registre NoWarningNoElevationOnUpdate (même emplacement) doit être absente ou égale à 0 (DWORD)

Des correctifs sont désormais disponibles pour toutes les versions maintenues de Microsoft Windows.

Retrouvez sur le site de l’ANSSI une liste d’actions à réaliser rapidement

Le bulletin du CERT-FR recommande également d’appliquer le correctif sans délai, même si celui-ci semble corriger uniquement l’exécution de code arbitraire à distance et non l’escalade de privilège en local.

Attention : Il convient de noter que les versions qui ne sont plus maintenues, telles que Windows 10 Version 1903, sont affectées par la vulnérabilité mais ne seront pas corrigées.

Aussi, si le service print spooler n’est pas utilisé, il convient de le désactiver. 

Les équipes du SOC ITrust restent particulièrement attentives sur les périmètres touchés par cette CVE.

>Nos analystes supervisent les serveurs windows de nos clients et prendront si nécessaire des actions de remédiations.

>Concernant les bonnes pratiques : pensez, toujours, à scanner régulièrement votre réseau. Des outils comme IKare, disponible en version d’essai gratuite, automatisent le monitoring de votre SI.

Si vous avez besoin d’aide pour corriger ces failles, contactez-nous :

> Etre rappelé

>  05.67.34.67.80

>  contact@itrust.fr