Malgré les nombreuses tentatives de Microsoft pour corriger avec succès PrintNightmare, ce n’est toujours pas fini. Maintenant, une autre vulnérabilité du spouleur d’impression Windows 10 PrintNightmare a été découverte, et il s’agit de attirant des attaquants de ransomware à la recherche d’un accès facile aux privilèges système.
Microsoft a publié plusieurs correctifs en juillet et août pour corriger la vulnérabilité et a ajusté le processus par lequel les utilisateurs peuvent installer de nouveaux pilotes d’imprimante. Cependant, les chercheurs ont toujours trouvé une solution de contournement pour lancer une attaque via une vulnérabilité plus récente du spouleur d’impression, baptisée CVE-2021-36958.
De un article dans le Microsoft Security Response Center, Microsoft décrit la vulnérabilité : « Une vulnérabilité d’exécution de code à distance existe lorsque le service Windows Print Spooler exécute de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d’utilisateur complets.”
Microsoft répertorie également la solution de contournement de la vulnérabilité comme”l’arrêt et la désactivation du service Print Spooler”. L’attaquant aura besoin des privilèges d’administrateur pour installer les pilotes d’imprimante nécessaires ; si un pilote est déjà installé, cependant, ces privilèges ne sont pas nécessaires pour connecter une imprimante. De plus, il n’est pas nécessaire d’installer les pilotes sur les clients, de sorte que la vulnérabilité reste vulnérable dans tous les cas où un utilisateur se connecte à une imprimante distante.
Les attaquants de ransomware, naturellement, tirent pleinement parti de la exploits, selon Bleeping Computer. Magniber, un groupe de ransomware, a récemment été détecté par CrowdStrike dans le but d’exploiter les vulnérabilités non corrigées contre les victimes sud-coréennes.
Il n’y a pas encore de mot, de Microsoft ou d’ailleurs, quant à savoir si la vulnérabilité PrintNightmare est en place. En fait, CrowdStrike estime « que la vulnérabilité PrintNightmare associée au déploiement de les ransomwares continueront probablement à être exploités par d’autres acteurs de la menace. »
via Windows Central
