Actualités

PrintNightmare : l’impression insécuritaire perdure, malgré les récents patchs de Microsoft !

Le cauchemar semble ne plus finir : il y a quelques jours, Microsoft déployait le sacro-saint patch Tuesday, au 10 Août 2021, comblant ainsi 44 vulnérabilités dont celles ayant attrait à PrintNightmare, une vulnérabilité qui affectait le spouleur d’impression sous Windows. Au lendemain, une autre vulnérabilité semble avoir été décelée…

 

 

Selon les données et analyses des chercheurs de l’équipe CrowdStrike, concernant la vue d’ensemble de PrintNightmare, l’affaire à débuté au 8 Juin 2021, date à laquelle Microsoft publie un bulletin sécuritaire pour la CVE-2021-1675 qui permettait de contourner les restrictions effectuées initialement avec le patch relatif à la CVE-2020-1048 (PrintDemon). Si la vulnérabilité avait été comblée au 21 Juin son exploit a été démontré, à nouveau, le 29 Juin 2021. Finalement et après plusieurs PoCs dans la nature, Microsoft a publié un second bulletin – pour cette même vulnérabilité – via la CVE-2021-34527, au 1er Juillet 2021. Egalement ici et malgré un correctif déployé au 6 Juillet 2021, de nouveaux PoCs ont remis en question ledit correctif. En aparté, la CVE-2021-36934 a, également, fait partie du Patch Tuesday, ce qui permet de combler théoriquement HiveNightmare (SeriousSAM).

Ainsi, outre les bulletins existants ou déjà comblés au sein du patch Tuesday (CVE-2021-34481, CVE-2021-34483, CVE-2021-34527, CVE-2021-36936, CVE-2021-36947), une nouvelle vulnérabilité, publiée au 11 Août 2021 et assignée CVE-2021-36958 concerne également le spouleur Windows. Les pilotes ne pourront désormais plus s’installer librement : il faudra systématiquement une autorisation-administrateur.

Au milieu de cette mer insécuritaire réside une inquiétude : le détournement de PrintNightmare par les auteurs du ransomware Magniber. Actif depuis, au moins, 2017, l’exploit repose sur un kit Magnitude essentiellement utilisé pour un autre ransomware Cerber qui a été observé uniquement en Corée. CrowdStrike recommande la plus grande attention sur un exploit potentiellement plus étendu de Magniber via PrintNightmare dont les dernières activités, en Février 2021, mettent en avant des exploits reposant sur une vulnérabilité sous Internet Explorer (CVE-2020-0968) et ciblant la Corée du Sud.

Bien évidemment, les yeux se tournent vers les chercheurs sécuritaires, notamment Benjamin Delpy qui, après la publication des patchs de Microsoft aurait démontré un contournement de la permission d’installation des pilotes de multiples manières notamment en changeant, tout simplement, les droits et permissions utilisateurs dans le panneau d’options dédié… A veiller !

 

 

Source : blog CrowdStrike – 11 Août 2021 – PrintNightmare : contournement des patchs anti-contournement (Patch Tuesday) de Microsoft.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a