ALERTE : Vulnérabilité dans Microsoft Windows (30.06.21)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité dans Microsoft Windows (30.06.21)

Messagede pierre » 01 Juil 2021, 19:14

ALERTE : Vulnérabilité dans Microsoft Windows (30.06.21)

Risque(s)
Exécution de code arbitraire à distance
Élévation de privilèges

Systèmes affectés
Windows Server 20H2 (Server Core Installation)
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2004 (Server Core installation)
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows RT 8.1

Résumé
Le 8 juin 2021, Microsoft publiait des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day) (Zero Day (Faille de sécurité de type Zero Day)).

Une de ces vulnérabilités – la CVE-2021-1675 (viewtopic.php?f=173&t=37548&hilit=1675) - affecte le service spooleur d'impression (print spooler), un composant logiciel du système d’exploitation Microsoft Windows. Cette vulnérabilité permettait initialement, selon Microsoft, une escalade de privilèges en local. Son score CVSSv3 s’élevait alors à 7.8.

Le 29 juin 2021, deux chercheurs ont présenté une nouvelle façon d’exploiter cette vulnérabilité, cette fois à distance et ce malgré le correctif proposé par Microsoft.

La CVE-2021-1675 doit donc être considérée comme une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM. Son score CVSSv3 est donc amené à évoluer.

Des codes d'exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.

Ces codes exploitent la possibilité offerte par le service spooleur d'impression (print spooler) de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Or, par défaut, le service spooleur d'impression (print spooler) est activé sur les contrôles de domaine Active Directory.

Un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de l’administrateur de domaine Active Directory.

Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande fortement de réaliser les actions suivantes :

  • modifier immédiatement le type de démarrage vers la valeur "Désactivé" / "Disabled" pour le service "Spooler" (description : "Spouleur d'impression" / "Print Spooler", exécutable : "spoolsv.exe") sur les contrôleurs de domaine, ainsi que sur toute autre machine sur lequel ce service n’est pas nécessaire, particulièrement pour des machines hébergeant des services privilégiés sur l'Active Directory ;
  • une fois le service désactivé, il est nécessaire :
    • d’arrêter manuellement le service ou de redémarrer la machine ;
    • de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.

Informations d'aide à la détection
Une première mesure de détection consistera en la surveillance du processus spoolsv.exe sur les machines sur lesquelles se processus ne peut pas être désactivé (*). La création d'un processus enfant qui lui serait rattaché devrait faire l'objet d'une analyse. A cet effet, on peut surveiller ce type d'évènement notamment via l'évènement d'identifiant 1 de l'outil System Monitor (Sysmon) mais également par l'évènement d'identifiant 4688 des journaux de sécurité de Windows.

Ces éléments seront complétés ultérieurement.

(*) Le CERT-FR recommande fortement de ne jamais activer le service "spouleur d'impression" sur les contrôleurs de domaine.

Solution
A ce jour, le correctif publié par Microsoft le 09 juin 2021 ne protège pas le service spouleur d'impression contre cette méthode d'exploitation.

Cette alerte sera mise à jour lorsque Microsoft publiera un nouveau correctif.

Documentation
Avis de sécurité CERT-FR CERTFR-2021-AVI-448 du 09 juin 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-448/

Bulletin de sécurité Microsoft CVE-2021-1675 du 08 juin 2021
https://portal.msrc.microsoft.com/en-US ... -2021-1675

Référence CVE CVE-2021-1675
http://cve.mitre.org/cgi-bin/cvename.cg ... -2021-1675
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29453
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 36 invités

cron