Vulnérabilité Critique Microsoft Windows “Print Nightmare” 

Le 29 juin 2021, une faille 0 day affectant les spooler d’impression Windows a été largement diffusée.

Actuellement non corrigée, cette faille critique affecte les serveurs exécutant Windows 7 et les versions ultérieures.

Un premier correctif a été publié le 08 juillet  par l’éditeur.

Quels risques pour votre activité ?

Cette faille permet d’exécuter du code à distance, entraînant une élévation de privilèges de niveau système, pour tout utilisateur ayant un compte sur l’Active Directory. 

Un attaquant pourrait installer un programme, afficher, modifier, supprimer des données ou créer un nouveau compte avec tous les privilèges administrateur. 

Ce service étant activé par défaut, tout système Windows est potentiellement vulnérable.

De plus, des codes d’exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnĂ©rabilitĂ© est imminente ou dĂ©jĂ  en cours.

Comment s’en protéger ?

Depuis ce jeudi 8 juillet, Microsoft recommande de sĂ©curiser le fonctionnement de la fonctionnalitĂ© « Point and Print » en s’assurant que, si les clĂ©s de registre existent (ce n’est pas le cas par dĂ©faut), elles sont bien dĂ©finies avec les valeurs suivantes :

  • la clĂ© de registre NoWarningNoElevationOnInstall (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) doit ĂŞtre absente ou Ă©gale Ă  0 (DWORD)
  • la clĂ© de registre NoWarningNoElevationOnUpdate (mĂŞme emplacement) doit ĂŞtre absente ou Ă©gale Ă  0 (DWORD)

Des correctifs sont désormais disponibles pour toutes les versions maintenues de Microsoft Windows.

Retrouvez sur le site de l’ANSSI une liste d’actions à réaliser rapidement

Le bulletin du CERT-FR recommande Ă©galement d’appliquer le correctif sans dĂ©lai, mĂŞme si celui-ci semble corriger uniquement l’exĂ©cution de code arbitraire Ă  distance et non l’escalade de privilège en local.

Attention : Il convient de noter que les versions qui ne sont plus maintenues, telles que Windows 10 Version 1903, sont affectées par la vulnérabilité mais ne seront pas corrigées.

Aussi, si le service print spooler n’est pas utilisé, il convient de le désactiver. 

Les équipes du SOC ITrust restent particulièrement attentives sur les périmètres touchés par cette CVE.

>Nos analystes supervisent les serveurs windows de nos clients et prendront si nécessaire des actions de remédiations.

>Concernant les bonnes pratiques : pensez, toujours, à scanner régulièrement votre réseau. Des outils comme IKare, disponible en version d’essai gratuite, automatisent le monitoring de votre SI.

Si vous avez besoin d’aide pour corriger ces failles, contactez-nous :

> Etre rappelé

>  05.67.34.67.80

>  contact@itrust.fr