Malgré le deuxième patch, PrintNightmare est de retour

ACCUEIL » #Repost

Icône de temps de lecture 2 minute. lis

Icône de calendrier Mis à jour le

by Surur Davids 

mis à jour le

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

Microsoft fait face à une vulnérabilité où les pirates peuvent prendre le contrôle des PC en installant des pilotes d'imprimante compromis depuis près d'un mois maintenant, mais il semble que le problème soit plus complexe et plus profond que même Microsoft ne l'avait prévu.

Malgréea correctif récent qui a modifié les paramètres par défaut de Windows 10 et empêché les utilisateurs standard d'installer des pilotes d'imprimante, les pirates ont trouvé un contournement qui permettait toujours une élévation des privilèges pour les utilisateurs standard.

Benjamin Delpy a montré que les pirates peuvent rapidement obtenir des privilèges SYSTEM en se connectant simplement à un serveur d'impression distant, en utilisant la directive de registre CopyFile pour copier un fichier DLL qui ouvre une invite de commande au client avec un pilote d'impression lorsque vous vous connectez à une imprimante. .

Microsoft a reconnu le problème dans avis CVE-2021-36958, , a déclaré:

Il existe une vulnérabilité d'exécution de code à distance lorsque le service Spouleur d'impression Windows exécute de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d'utilisateur complets.

La solution de contournement pour cette vulnérabilité consiste à arrêter et à désactiver le service Spouleur d'impression.

Bien que Microsoft l'appelle une vulnérabilité d'exécution de code à distance, l'exploit semble être un bogue d'escalade de privilèges locaux, ce qui devrait au moins rassurer les administrateurs réseau.

Microsoft recommande à nouveau aux administrateurs de désactiver le spouleur d'impression et ainsi de désactiver l'impression à partir de Windows. Une autre solution de contournement, non recommandée par Microsoft, consiste à limiter les imprimantes auxquelles vous pouvez vous connecter à une liste spécifique à l'aide de la stratégie de groupe "Point de paquet et impression - Serveurs approuvés". Lisez comment faire à BleepingComputer ici.

En savoir plus sur les sujets : CVE-2021-36958, exploiter, ImprimerCauchemar, sécurité, serveur Windows

Surur Davids

Surur Davids bouclier

Expert en smartphones

Surur Davids est le fondateur de WMPoweruser qui deviendra plus tard MSPoweruser.com. C'est un expert en smartphones avec plus d'une décennie d'expérience.