Faille de sécurité Microsoft PrintNightmare
– Concerne TOUTES les versions de Windows Server & Windows Client –
Le 29 juin 2021, des chercheurs en cybersécurité ont dévoilés par erreur comment exploiter une faille de sécurité touchant le service Spooler de Microsoft Windows.
Cette faille est référencée CVE-2021-34527.
Un exploit ZERO DAY était à craindre dans les jours suivants, et des premiers signes d’attaques ont déjà été repérés, permettant à un attaquant d’obtenir une élévation de privilèges avec les droits SYSTEM, par la ‘simple’ injection de faux drivers d’imprimante.
– Actions urgentes à mener sur TOUS VOS SERVEURS –
Microsoft a publié hier (06 juillet) un PATCH « OUT OF BAND », évènement très rare car Microsoft ne publie ses patchs de sécurités que les second mardis du mois, justifiant ainsi du niveau élevé de la menace.
La vulnérabilité remonte aux toutes premières versions de l’OS Microsoft, et touche donc l’intégralité des versions actuellement en production.
L’ANSSI et le CERT-FR recommandent une action immédiate :
- >> Patcher vos serveurs (pour le moment le patch est disponible pour 2012 R2, 2008 R2, 2019) ;
- >> Bloquer les impressions à distance sur les serveurs qui n’en ont pas besoin (notamment vos contrôleurs Active Directory), mais aussi sur tout le parc (à l’exception donc des serveurs spools).
Vos systèmes doivent donc impérativement disposer de la « Mise à jour cumulative pour Windows 10 version 21H1 pour les systèmes x64 (KB5004945) » ou sur versions antérieures de la KB5004946 ou KB5004947.
Sources :
Vulnérabilité dans Microsoft Windows – CERT-FR (ssi.gouv.fr)
CVE – CVE-2021-34527 (mitre.org)
Out-of-Band (OOB) Security Update available for CVE-2021-34527 – Microsoft Security Response Center
