Actualités

PrintNightmare : un cauchemar sécuritaire qui serait partiellement colmaté par Microsoft !

 


Actualité originelle, le 9 Juillet 

La faille relative au spooler-impression de Windows continue à faire couler de l’encre : suite aux révélations insécuritaires de Zhiniang Peng, l’un des chercheurs de l’équipe SangFor, Microsoft avait publié en catastrophe, depuis le 1er Juillet 2021, un bulletin et correctif hors-cycle pour la vulnérabilité. Assignée CVE-2021-34527, l’exploit, pour l’heure est très peu détaillé (PoC pour le Black Hat USA au cours d’une session dédiée) semble encore opérationnel selon les investigations techniques de nouveaux chercheurs…

 

Benjamin Delpy (auteur notamment de Mimikatz), Kevin Beaumont (DoublePulsar) et Will Dormann (CERT-CC) exposent, à nouveau et malgré le patch sécuritaire en cours de déploiement de Microsoft, une vulnérabilité encore active. Le correctif serait partiellement valide, selon Kevin Beaumont qui, après test, estime l’ensemble efficace sous Windows 10 mais non sous d’autres systèmes comme les solutions Server 2012 R2. Si une attaque distante (RCE) serait écartée, il semble que l’élévation de privilège en local (LPE) resterait tout à fait exploitable depuis le spouleur d’impression Windows.

 

 

(Source : CERT, Université Carnegie Mellon)

 

Quant aux conclusions de Will Dormann, il semble que la faille ne résiste pas à la solution sécuritaire 0patch tout en confirmant, au sein d’un billet dédié (et actualisé) que les solutions Server 2019, 2016, 2012 R2, 2008 R2 et l’ensemble des versions Windows 10 (“non-jointes au domaine“) étaient encore impactées. “La fonction RpcAddPrinterDriverEx() est utilisée pour installer un pilote d’imprimante sur un système. L’un des paramètres de cette fonction est l’objet DRIVER_CONTAINER, qui contient des informations sur le pilote à utiliser par l’imprimante ajoutée. L’autre argument, dwFileCopyFlags, spécifie comment les fichiers de pilote d’imprimante de remplacement doivent être copiés. Un attaquant peut profiter du fait que tout utilisateur authentifié peut appeler RpcAddPrinterDriverEx() et spécifier un fichier de pilote résidant sur un serveur distant. Il en résulte que le service Print Spooler spoolsv.exe exécute du code dans un fichier DLL arbitraire avec les privilèges SYSTEM“, indique le bulletin sécuritaire du CERT.

 

Un nouveau tweet continue d’insister sur les faiblesses techniques encore engendrées par cette vulnérabilité, notamment sur certaines clés de registre (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DriverInstall\Restrictions\AllowUserDeviceClasses) qui peuvent permettre, PoC à l’appui, d’installer en local des pilotes (drivers) par un compte non-administrateurs…

 

Concernant, enfin, l’exploit sous Mimikatz, l’affaire s’annonce plus complexe : un PoC montre, en effet, que la faille entière réside, que cela soit en RCE ou en LPE… Si Benjamin Delpy concède que le patch de Microsoft puisse corriger certains aspects de la vulnérabilité, cette dernière reste bien palpable si l’on active le Point&Print tout en faisant un appel AddPrinterDriver. De là, un téléchargement distant peut s’opérer sans que le fichier-signature ne soit obligatoire. Du reste, le chercheur précise que les contournements prodigués par Microsoft – dans son bulletin – pour atténuer Printnighmare restent valables ; en attendant que Microsoft revoie la teneur de son patch… A veiller !

 

 

Source : Kevin Beaumont (Twitter) – 7 Juillet 2021 – PrintNightmare : patch de Microsoft partiellement inefficace.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0