Microsoft admet une nouvelle attaque Print Spool LPE (CVE-2021-34481)
1 minute. lis
Mis à jour le
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Un peu comme un film d'horreur, dès que Microsoft pense que son PrintNightmare est terminé, un autre vecteur d'attaque apparaît.
MSRC a publié un avis (CVE-2021-34481) informant les administrateurs que, bien qu'ils aient récemment corrigé leurs PC contre PrintNightmare, une nouvelle attaque a été découverte, ce qui rend leur PC vulnérable à la compromission.
Microsoft note qu'il existe une vulnérabilité d'élévation des privilèges lorsque le service Windows Print Spooler exécute de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes avec tous les droits d'utilisateur.
Contrairement au PrintNightmare original, cette attaque ne serait pas un exploit de code à distance, et l'attaquant doit avoir la capacité d'exécuter du code sur un système victime pour exploiter cette vulnérabilité. Il peut bien sûr être enchaîné avec une autre vulnérabilité et laisser cet exploit élever ses privilèges. Microsoft note qu'il ne nécessite aucune intervention de l'utilisateur pour s'exécuter.
Microsoft n'a pas encore publié de correctif pour le nouveau bogue, mais note qu'en tant que solution de contournement, l'arrêt et la désactivation du service Print Spooler sont efficaces.
En savoir plus sur l'attaque de Microsoft ici.