Faille de sécurité Microsoft PrintNightmare
Concerne TOUTES les versions de Windows Server & Windows Client
Le 29 juin 2021, des chercheurs en cybersécurité ont dévoilés par erreur comment exploiter une faille de sécurité touchant le service Spooler de Microsoft Windows. Cette faille est référencée CVE-2021-34527.
Un exploit ZERO DAY était à craindre dans les jours suivants, et des premiers signes d’attaques ont déjà été repérés, permettant à un attaquant d’obtenir une élévation de privilèges avec les droits SYSTEM, par la ‘simple’ injection de faux drivers d’imprimante.
Action urgente à mener sur TOUS VOS SERVEURS
Microsoft a publié hier (06 juillet) un PATCH « OUT OF BAND », ce qui est très rare car d’habitude Microsoft ne publie ses patchs de sécurités que les second mardi du mois, justifiant ainsi du niveau élevé de la menace.
La vulnérabilité remonte aux toutes premières versions de l’OS Microsoft, et touche donc l’intégralité des versions actuellement en production !
L’ANSSI et le CERT-FR recommandent une action immédiate !
- patcher vos serveurs (pour le moment le patch est disponible pour 2012 R2, 2008 R2, 2019)
- bloquer les impressions à distance sur les serveurs qui n’en ont pas besoin (notamment vos contrôleurs Active Directory), mais aussi sur tout le parc (à l’exception donc des serveurs spools)
Vos systèmes doivent donc impérativement disposer de la « Mise à jour cumulative pour Windows 10 version 21H1 pour les systèmes x64 (KB5004945) » ou sur versions antérieures de la KB5004946 ou KB5004947.
Sources :
Vulnérabilité dans Microsoft Windows – CERT-FR (ssi.gouv.fr)
CVE – CVE-2021-34527 (mitre.org)
Out-of-Band (OOB) Security Update available for CVE-2021-34527 – Microsoft Security Response Center
lien pour retrouver les patchs à appliquer (en fonction de vos OS)
CVE-2021-34527 – Guide des mises à jour de sécurité – Microsoft – Vulnérabilité d’exécution de code à distance dans le spouleur d’impression Windows
Bon courage à tous pour appliquer tout ça le plus vite possible…