Microsoft reconnaît encore une autre vulnérabilité du spouleur d’impression

Microsoft Reconnaît Encore Une Autre Vulnérabilité Du Spouleur D'impression

Une patate chaude : après avoir essayé à plusieurs reprises de corriger un ensemble de vulnérabilités également connu sous le nom de « PrintNightmare », Microsoft n’a pas encore fourni de solution permanente qui n’implique pas l’arrêt et la désactivation du service Print Spooler dans Windows. La société a maintenant reconnu un autre bug qui a été initialement découvert il y a huit mois, et les groupes de ransomware commencent à profiter du chaos.

Le cauchemar de la sécurité du spouleur d’impression n’est pas terminé pour Microsoft – la société a dû publier un correctif après l’autre pour réparer les choses, et cela inclut la mise à jour Patch Tuesday de ce mois-ci.

Dans un nouvel avis de sécurité, la société a reconnu l’existence d’une autre vulnérabilité dans le service Windows Print Spooler. Celui-ci est classé sous CVE-2021-36958 et est similaire aux bugs découverts précédemment qui sont maintenant collectivement connus sous le nom de « PrintNightmare », qui peuvent être utilisés pour abuser de certains paramètres de configuration et de la capacité des utilisateurs avec des privilèges limités à installer des pilotes d’imprimante qui peut ensuite être exécuté avec le niveau de privilège maximum possible dans Windows.

Comme Microsoft l’explique dans l’avis de sécurité, un attaquant peut exploiter une faille dans la manière dont le service Windows Print Spooler effectue des opérations de fichiers privilégiés pour essentiellement obtenir un accès au niveau du système et faire des ravages sur un système. La solution de contournement consiste à nouveau à arrêter et à désactiver entièrement le service Spouleur d’impression.

La nouvelle vulnérabilité a été découverte par Benjamin Delpy, qui est le créateur de l’outil d’exploitation Mimikatz, alors qu’il vérifiait si le dernier correctif de Microsoft résolvait enfin PrintNightmare.

Delpy a constaté que même si la société a fait en sorte que Windows demande désormais des privilèges d’administrateur pour installer les pilotes d’imprimante, on n’a pas besoin de ces privilèges pour se connecter à une imprimante si le pilote est déjà installé. De plus, la vulnérabilité Print Spooler est toujours ouverte aux attaques lorsque quelqu’un se connecte à une imprimante distante.

Il convient de noter que Microsoft attribue la découverte de ce bug à Victor Mata de FusionX, Accenture Security, qui dit il a signalé le problème en décembre 2020. Ce qui est encore plus inquiétant, c’est que la précédente preuve de concept de Delpy pour l’exploitation de PrintNightmare fonctionne toujours après l’application du Patch Tuesday d’août.

Bleeping Computer rapporte que PrintNightmare devient rapidement un outil de choix pour les gangs de ransomware, qui ciblent désormais les serveurs Windows pour fournir le ransomware Magniber aux victimes sud-coréennes. CrowdStrike dit qu’il a déjà empêché certaines tentatives, mais prévient que ce n’est peut-être que le début de campagnes de plus grande envergure.

  • Une autre Aurélia