Microsoft reconnaît encore une autre vulnérabilité du spouleur d’impression

Une patate chaude : Après avoir essayé à plusieurs reprises de corriger un ensemble de vulnérabilités également connu sous le nom de « PrintNightmare », Microsoft n’a pas encore fourni de solution permanente qui n’implique pas l’arrêt et la désactivation du service Print Spooler dans Windows. La société a maintenant reconnu un autre bogue qui a été initialement découvert il y a huit mois, et les groupes de ransomware commencent à profiter du chaos.

Le cauchemar de la sécurité du spouleur d’impression n’est pas terminé pour Microsoft – la société a dû en publier un pièce après un autre pour réparer les choses, et cela inclut la mise à jour Patch Tuesday de ce mois-ci.

Dans un nouvel avis de sécurité, la société a reconnu l’existence d’une autre vulnérabilité dans le service Windows Print Spooler. Celui-ci est déposé sous CVE-2021-36958, et est similaire aux bogues découverts précédemment qui sont maintenant collectivement connus sous le nom de « PrintNightmare », qui peuvent être utilisés pour abuser de certains paramètres de configuration et de la capacité des utilisateurs avec des privilèges limités à installer des pilotes d’imprimante qui peuvent ensuite être exécutés avec le niveau de privilège maximum possible sous Windows.

Comme Microsoft l’explique dans l’avis de sécurité, un attaquant peut exploiter une faille dans la façon dont le service Windows Print Spooler effectue des opérations de fichiers privilégiés pour essentiellement obtenir un accès au niveau du système et faire des ravages sur un système. La solution de contournement consiste à nouveau à arrêter et à désactiver entièrement le service Spouleur d’impression.

La nouvelle vulnérabilité a été découverte par Benjamin Delpy, qui est le créateur de l’outil d’exploitation Mimikatz, alors qu’il vérifiait si le dernier correctif de Microsoft résolvait enfin PrintNightmare.

Delpy a constaté que même si la société a fait en sorte que Windows demande désormais des privilèges d’administrateur pour installer les pilotes d’imprimante, on n’a pas besoin de ces privilèges pour se connecter à une imprimante si le pilote est déjà installé. De plus, la vulnérabilité Print Spooler est toujours ouverte aux attaques lorsque quelqu’un se connecte à une imprimante distante.

Il convient de noter que Microsoft attribue la découverte de ce bogue à Victor Mata de FusionX, Accenture Security, qui dit il a signalé le problème en décembre 2020. Ce qui est encore plus préoccupant, c’est que Delpy preuve de concept précédente pour exploiter PrintNightmare fonctionne toujours après l’application du Patch Tuesday d’août.

Ordinateur qui bipe rapports que PrintNightmare devient rapidement un outil de choix pour les gangs de ransomware, qui ciblent désormais les serveurs Windows pour fournir le ransomware Magniber aux victimes sud-coréennes. CrowdStrike dit qu’il a déjà empêché certaines tentatives, mais met en garde ce n’est peut-être que le début de campagnes de plus grande envergure.