PrintNightmare : dans une déclaration, Microsoft nie que le contournement des correctifs soit une menace réelle
2 minute. lis
Publié le
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Il y a deux jours Microsoft a publié un correctif hors bande pour l'exploit PrintNightmare Zero-day qui accorde aux attaquants fonctionnalités complètes d'exécution de code à distance sur les périphériques Windows Print Spooler entièrement corrigés, et un jour plus tard, plusieurs pirates ont montré que le correctif pouvait être facilement contourné.
Traiter les chaînes et les noms de fichiers est-il difficile ?
Nouvelle fonction dans #mimikatz ? pour normaliser les noms de fichiers (en contournant les vérifications en utilisant UNC au lieu du format \ servershare)Donc un RCE (et LPE) avec #impressioncauchemar sur un serveur entièrement patché, avec Point & Print activé
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamin Delpy (@gentilkiwi) 7 juillet 2021
Confirmé.
Si vous avez un système où PointAndPrint NoWarningNoElevationOnInstall = 1, le correctif de Microsoft pour #PrintCauchemar CVE-2021-34527 ne fait rien pour empêcher LPE ou RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) 7 juillet 2021
Microsoft vient de publier une déclaration BleepingComputer niant que le contournement présentait une menace réaliste, déclarant :
"Nous sommes au courant des réclamations et enquêtons, mais pour le moment nous ne sommes au courant d'aucun contournement", poursuit "Nous avons vu des réclamations de contournement où un administrateur a modifié les paramètres de registre par défaut en une configuration non sécurisée. Consultez les instructions CVE-2021-34527 pour plus d'informations sur les paramètres requis pour sécuriser votre système. ”
Microsoft signifie vraisemblablement permettre l'installation de pilotes sans avertissement, la société insistant sur le fait que la configuration par défaut est sécurisée.
Microsoft indique qu'après avoir appliqué le correctif, assurez-vous que les valeurs de registre suivantes (si elles existent) sont définies sur zéro :
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) ou non défini (paramètre par défaut)
- UpdatePromptSettings = 0 (DWORD) ou non défini (paramètre par défaut)
Ce qui est clair, c'est que vous avez besoin de plus que le patch pour être vraiment en sécurité. Lire les conseils de configuration complets de Microsoft ici.