Microsoft affirme que PrintNightmare est déjà exploité et propose une solution de contournement

Nous avons signalé il y a deux jours un nouvel exploit Zero-day non corrigé qui vient d'être publié et qui permet aux attaquants fonctionnalités complètes d'exécution de code à distance sur les périphériques de spouleur d'impression Windows entièrement corrigés.

Le hack, appelé PrintNightmare, permet au code de l'attaquant de s'exécuter avec des privilèges système complets et a été publié avec le code Proof of Concept, il était donc mûr pour être exploité par des pirates.

Le principal facteur atténuant est que les pirates ont besoin de certaines informations d'identification (même à faible privilège) pour le réseau, mais pour les réseaux d'entreprise, celles-ci peuvent être facilement achetées pour environ 3 $.

Microsoft a enfin répondu à la nouvelle en publiant l'avis de vulnérabilité d'exécution de code à distance du spouleur d'impression Windows CVE-2021-34527.

Microsoft dit:

Microsoft est au courant et enquête sur une vulnérabilité d'exécution de code à distance qui affecte le spouleur d'impression Windows et a attribué CVE-2021-34527 à cette vulnérabilité. Il s'agit d'une situation évolutive et nous mettrons à jour la CVE au fur et à mesure que de plus amples informations seront disponibles.

Il existe une vulnérabilité d'exécution de code à distance lorsque le service Spouleur d'impression Windows exécute de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d'utilisateur complets.

Une attaque doit impliquer un utilisateur authentifié appelant RpcAddPrinterDriverEx().

Assurez-vous d'avoir appliqué les mises à jour de sécurité publiées le 8 juin 2021 et consultez les sections FAQ et Contournement de cette CVE pour savoir comment protéger votre système contre cette vulnérabilité.

Dans leur évaluation de l'exploitabilité, ils notent qu'ils ont déjà détecté des exploits.

Microsoft propose la solution de contournement suivante, qui désactive toutefois votre spouleur d'impression :

Déterminez si le service Print Spooler est en cours d'exécution (exécuté en tant qu'administrateur de domaine)

Exécutez ce qui suit en tant qu'administrateur de domaine :

Get-Service -Name Spooler

Si le spouleur d'impression est en cours d'exécution ou si le service n'est pas désactivé, sélectionnez l'une des options suivantes pour désactiver le service du spouleur d'impression ou pour désactiver l'impression à distance entrante via la stratégie de groupe :

Option 1 – Désactiver le service Spouleur d'impression

Si la désactivation du service Spouleur d'impression convient à votre entreprise, utilisez les commandes PowerShell suivantes :

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Impact de la solution de contournement La désactivation du service Print Spooler désactive la possibilité d'imprimer à la fois localement et à distance.

Option 2 - Désactiver l'impression à distance entrante via la stratégie de groupe

Vous pouvez également configurer les paramètres via la stratégie de groupe comme suit :

Configuration informatique / Modèles d'administration / Imprimantes

Désactivez la politique "Autoriser le spouleur d'impression à accepter les connexions client :" pour bloquer les attaques à distance.

Impact de la solution de contournement Cette stratégie bloquera le vecteur d'attaque à distance en empêchant les opérations d'impression à distance entrantes. Le système ne fonctionnera plus comme un serveur d'impression, mais l'impression locale sur un périphérique directement connecté sera toujours possible.

Lisez tous les détails chez Microsoft ici.