Le correctif d’urgence de Microsoft ne résout pas la vulnérabilité critique « PrintNightmare »


Tête de mort en code binaire

Un correctif d’urgence publié mardi par Microsoft ne parvient pas à corriger complètement une vulnérabilité de sécurité critique dans toutes les versions prises en charge de Windows qui permet aux attaquants de prendre le contrôle des systèmes infectés et d’exécuter le code de leur choix, ont déclaré les chercheurs.

La menace, familièrement connue sous le nom de PrintNightmare, provient de bogues dans le spouleur d’impression Windows, qui fournit des fonctionnalités d’impression à l’intérieur des réseaux locaux. Le code d’exploitation de preuve de concept a été rendu public, puis retiré, mais pas avant que d’autres l’aient copié. Les chercheurs suivent la vulnérabilité en tant que CVE-2021-34527.

Une grosse affaire

Les attaquants peuvent l’exploiter à distance lorsque les capacités d’impression sont exposées à Internet. Les attaquants peuvent également l’utiliser pour élever les privilèges du système une fois qu’ils ont utilisé une vulnérabilité différente pour obtenir une emprise à l’intérieur d’un réseau vulnérable. Dans les deux cas, les adversaires peuvent alors prendre le contrôle du contrôleur de domaine, qui, en tant que serveur qui authentifie les utilisateurs locaux, est l’un des actifs les plus sensibles à la sécurité sur n’importe quel réseau Windows.

« C’est la plus grosse affaire que j’aie traitée depuis très longtemps », a déclaré Will Dormann, analyste principal de la vulnérabilité au CERT Coordination Center, un projet à but non lucratif financé par le gouvernement fédéral américain qui recherche les bogues logiciels et travaille avec les entreprises et le gouvernement pour améliorer la sécurité. “Chaque fois qu’il y a un code d’exploitation public pour une vulnérabilité non corrigée qui peut compromettre un contrôleur de domaine Windows, c’est une mauvaise nouvelle.”

Après la découverte de la gravité du bogue, Microsoft a publié un hors-bande correction mardi. Microsoft a déclaré que la mise à jour “répond pleinement à la vulnérabilité publique”. Mais mercredi, un peu plus de 12 heures après la sortie, un chercheur a montré comment les exploits pouvaient contourner le correctif.

“Traiter avec des chaînes et des noms de fichiers est difficile”, Benjamin Delpy, développeur de l’utilitaire de piratage et de réseau Mimikatz et d’autres logiciels, a écrit sur Twitter.

Le tweet de Delpy était accompagné d’un vidéo qui montrait un exploit écrit à la hâte fonctionnant contre un Windows Server 2019 qui avait installé le correctif hors bande. La démo montre que la mise à jour ne parvient pas à réparer les systèmes vulnérables qui utilisent certains paramètres pour une fonctionnalité appelée pointer et imprimer, ce qui permet aux utilisateurs du réseau d’obtenir plus facilement les pilotes d’imprimante dont ils ont besoin.

Enfoui au bas de l’avis de Microsoft de mardi, il y a le suivant : “Point and Print n’est pas directement lié à cette vulnérabilité, mais la technologie affaiblit la sécurité locale de telle sorte que l’exploitation sera possible.”

Une tragédie de gaffes

Le correctif incomplet est la dernière gaffe impliquant la vulnérabilité PrintNightmare. Le mois dernier, le lot de correctifs mensuels de Microsoft a été corrigé CVE-2021-1675, un bogue du spouleur d’impression qui permettait aux pirates avec des droits système limités sur une machine d’élever les privilèges vers l’administrateur. Microsoft a crédité Zhipeng Huo de Tencent Security, Piotr Madej d’Afine et Yunhai Zhang de Nsfocus d’avoir découvert et signalé la faille.

Quelques semaines plus tard, deux chercheurs différents, Zhiniang Peng et Xuefeng Li de Sangfor, ont publié une analyse de CVE-2021-1675 qui montrait qu’elle pouvait être exploitée non seulement pour l’élévation des privilèges, mais aussi pour l’exécution de code à distance. Les chercheurs ont nommé leur exploit PrintNightmare.

Finalement, les chercheurs ont déterminé que PrintNightmare exploitait une vulnérabilité similaire (mais finalement différente de) CVE-2021-1675. Zhiniang Peng et Xuefeng Li ont supprimé leur exploit de preuve de concept lorsqu’ils ont appris la confusion, mais à ce moment-là, leur exploit circulait déjà largement. Il existe actuellement au moins trois exploits PoC accessibles au public, certains avec des capacités qui vont bien au-delà de ce que l’exploit initial permettait.

Le correctif de Microsoft protège les serveurs Windows configurés en tant que contrôleurs de domaine ou les appareils Windows 10 qui utilisent les paramètres par défaut. La démo de mercredi de Delpy montre que PrintNightmare fonctionne avec une gamme beaucoup plus large de systèmes, y compris ceux qui ont activé Point and Print et sélectionné l’option NoWarningNoElevationOnInstall. Le chercheur a implémenté l’exploit dans Mimikatz.

« Des diplômes seront requis »

En plus d’essayer de fermer la vulnérabilité d’exécution de code, le correctif de mardi pour CVE-2021-34527 installe également un nouveau mécanisme qui permet aux administrateurs Windows de mettre en œuvre des restrictions plus strictes lorsque les utilisateurs essaient d’installer un logiciel d’impression.

“Avant d’installer les mises à jour Windows du 6 juillet 2021 et plus récentes contenant des protections pour CVE-2021-34527, le groupe de sécurité des opérateurs d’imprimantes pouvait installer des pilotes d’imprimante signés et non signés sur un serveur d’impression”, a déclaré un Avis Microsoft déclaré. « Après avoir installé de telles mises à jour, les groupes d’administrateurs délégués comme les opérateurs d’imprimantes ne peuvent installer que des pilotes d’imprimante signés. Des informations d’identification d’administrateur seront requises pour installer des pilotes d’imprimante non signés sur un serveur d’impression à l’avenir. »

Bien que le correctif hors bande de mardi soit incomplet, il offre toujours une protection efficace contre de nombreux types d’attaques qui exploitent la vulnérabilité du spouleur d’impression. Jusqu’à présent, il n’y a aucun cas connu de chercheurs affirmant que cela met les systèmes en danger. À moins que cela ne change, les utilisateurs de Windows doivent installer le correctif à partir de juin et de mardi et attendre d’autres instructions de Microsoft. Les représentants de l’entreprise n’ont pas immédiatement eu de commentaire pour ce message.





Source link