par Martin Brinkmann le 03 juillet 2021 dans Windows – 3 commentaires
Microsoft a récemment révélé une nouvelle vulnérabilité d'exécution de code à distance dans Windows qui utilise le spouleur d'impression Windows. La vulnérabilité est activement exploitée et Microsoft a publié deux solutions de contournement pour protéger les systèmes contre les attaques.
Les informations fournies sont insuffisantes, car Microsoft ne divulgue même pas les versions de Windows affectées par le problème de sécurité. À première vue, cela semble affecter les contrôleurs de domaine pour la plupart et non la majorité des ordinateurs personnels, car cela nécessite des utilisateurs distants authentifiés.
0Patch, qui a analysé le correctif, suggère que le problème affecte principalement les versions de Windows Server, mais que les systèmes Windows 10 et les serveurs non-DC peuvent également être affectés si des modifications ont été apportées à la configuration par défaut :
< p>UAC (User Account Control) est complètement désactivé
PointAndPrint NoWarningNoElevationOnInstall est activé
Le CVE propose la description suivante :
Il existe une vulnérabilité d'exécution de code à distance lorsque le service Spouleur d'impression Windows exécute de manière incorrecte des opérations de fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec tous les droits d'utilisateur.
Une attaque doit impliquer un utilisateur authentifié appelant RpcAddPrinterDriverEx().
Veuillez vous assurer que vous avez appliqué les mises à jour de sécurité publiées le 8 juin 2021 , et consultez les sections FAQ et Solution de contournement dans ce CVE pour plus d'informations sur la façon de protéger votre système contre cette vulnérabilité.
Microsoft propose deux suggestions : désactiver le service Spouleur d'impression ou désactiver l'impression distante entrante à l'aide de la stratégie de groupe. La première solution de contournement désactive l'impression, locale et distante, sur l'appareil. Cela peut être une solution sur les systèmes sur lesquels la fonctionnalité d'impression n'est pas requise, mais ce n'est pas vraiment une option si l'impression est effectuée sur un périphérique. Vous pouvez basculer le spouleur d'impression à la demande, mais cela peut rapidement devenir une nuisance.
La deuxième solution de contournement nécessite l'accès à la stratégie de groupe, qui n'est disponible que sur les versions Pro et Enterprise de Windows.
Voici les deux solutions de contournement :
Pour désactiver le spouleur d'impression, procédez comme suit :
- Ouvrez une invite PowerShell élevée, par ex. en utilisant Windows-X et en sélectionnant Windows PowerShell (Admin).
- Exécutez Get-Service -Name Spooler.
- Exécutez Stop-Service -Name Spooler -Force
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
La commande (4) arrête le service Print Spooler, commande (5) le désactive. Notez que vous ne pourrez plus imprimer lorsque vous apporterez les modifications (sauf si vous réactivez le service Print Spooler.
Pour désactiver l'impression à distance entrante, procédez comme suit :
- Ouvrir Démarrer.
- Tapez gpedit.msc.
- Chargez l'éditeur de stratégie de groupe.
- Allez dans Configuration ordinateur/Modèles d'administration/Imprimantes.
- Double-cliquez sur Autoriser le spouleur d'impression à accepter les connexions client.
- Définissez la stratégie sur Désactivé.
- Sélectionnez ok.
0Patch a développé et publié un micropatch qui résout le problème d'exécution du code à distance du spouleur d'impression. Le correctif a été créé pour Windows Server uniquement à l'époque, en particulier Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 et Windows Server 2019.