La vulnérabilité découverte fin juin et permettant à distance une élévation de privilège, vient de recevoir de la part de Redmond un patch « out of band ». Il est vivement recommandé d’appliquer le correctif au plus vite.

Une semaine et demie après avoir découvert une vulnérabilité particulièrement sévère affectant le spooler d’impression Windows, Microsoft diffuse un patch « out of band ». Une décision rare venant de Redmond, mais qui s’explique par l’existence de plusieurs exploits de CVE-2021-34527 dans la nature.

La faille permet d’exécuter du code à distance, « les contrôleurs de domaine Active Directory sont particulièrement exposés, puisqu’un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de niveau “administrateur de domaine” Active Directory » expliquait le CERT-FR. Ainsi, un attaquant est en mesure de lire, de modifier, de supprimer des données, de créer un compte admin avec l’ensemble des privilèges, etc.

Surtout, le spooler d’impression est activé par défaut sur tous les systèmes Windows. C’est pourquoi, en l’absence de correctifs, il était vivement recommandé de le désactiver, et de le maintenir ainsi pour tous les postes n’ayant pas besoin de gérer des impressions distantes. Pour ceux qui n’ont d’autres choix que de l’activer, Microsoft a diffusé hier un correctif, que le CERT-FR « recommande très fortement d'appliquer [...] sans délai, même si celui-ci semble corriger uniquement l'exécution de code arbitraire à distance et non l'escalade de privilège en local ».

Mesure à prendre

Attention car le patch ne concerne pas les anciennes versions de Windows 10 qui ne sont plus supportées. Redmond conseille en outre de vérifier les points suivants de la fonction « Point and Print » :

• la clé de registre NoWarningNoElevationOnInstall (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) doit être absente ou égale à 0 (DWORD);
• la clé de registre NoWarningNoElevationOnUpdate (même emplacement) doit être absente ou égale à 0 (DWORD)Attention : Il convient de noter que les versions qui ne sont plus maintenues, telles que Windows 10 Version 1903, sont affectées par la vulnérabilité mais ne seront pas corrigées.

« PrintNightmare restera un outil d'exploitation précieux pour les cybercriminels tant qu'il existera des systèmes non corrigés et, comme nous le savons, les vulnérabilités non corrigées ont une longue durée de vie pour les attaquants. Maintenant que Microsoft a publié des correctifs, les organisations sont fortement encouragées à appliquer les correctifs dès que possible, d'autant plus que les attaquants intègrent dans leurs boîtes à outils des scripts d'exploitation PoC facilement disponibles » souligne Satnam Narang, ingénieur de recherche en chef chez Tenable.