Connect with us

Hi, what are you looking for?

Tech

Comment atténuer la vulnérabilité de Microsoft Print Spooler – PrintNightmare

Vulnérabilité dans Microsoft Print Spooler

Cette semaine, impression de cauchemar La vulnérabilité Microsoft Print Spooler (CVE-2021-34527) a été mise à niveau de « faible » à « critique ».

Cela est dû à une preuve de concept publiée sur GitHub, dont les attaquants peuvent profiter pour accéder aux contrôleurs de domaine.

comme nous sommes j’ai mentionné plus tôtMicrosoft a déjà publié un correctif en juin 2021, mais cela n’a pas suffi à arrêter les exploits. Les attaquants peuvent toujours utiliser le spouleur d’impression lorsqu’ils se connectent à distance. Vous pouvez trouver tout ce que vous devez savoir sur cette vulnérabilité dans cet article et comment vous pouvez (et pouvez) l’atténuer.

Bobine d’impression en quelques mots : Print Spooler est un service Microsoft de gestion et de surveillance de l’impression de fichiers. Ce service fait partie des services Microsoft les plus anciens et a eu des mises à jour de maintenance minimales depuis sa sortie.

Cette fonctionnalité est activée par défaut sur chaque appareil Microsoft (serveurs et points de terminaison).

Bug de cauchemar : Une fois que l’attaquant obtient un accès utilisateur limité au réseau, il pourra se connecter (directement ou à distance) au spouleur d’impression. Étant donné que le spouleur d’impression a un accès direct au noyau, un attaquant peut l’utiliser pour accéder au système d’exploitation, exécuter du code à distance avec des privilèges système et éventuellement attaquer le contrôleur de domaine.

Votre meilleure option pour atténuer la vulnérabilité PrintNightmare est de désactiver le spouleur d’impression sur chaque serveur et/ou poste de travail sensible (tels que les postes de travail d’administrateur, les postes de travail en direct avec Internet et les postes de travail sans impression).

READ  Consultez vos statistiques Xbox personnelles pour 2022 avec #MyYearOnXbox

C’est ce que dit Dvir Gorin, expert en renforcement et responsable de la technologie chez فعله Solutions logicielles CalCom, suggère que votre première étape vers l’atténuation.

Suivez ces étapes pour désactiver le service Spouleur d’impression sous Windows 10 :

  1. Ouvrez le menu Démarrer.
  2. Recherchez PowerShell, faites un clic droit dessus et sélectionnez Exécuter en tant qu’administrateur.
  3. Tapez la commande et appuyez sur Entrée : arrêter le service – mise en cache des noms – forcer
  4. Utilisez cette commande pour empêcher le service de redémarrer la sauvegarde lors du redémarrage : Set-Service -Name Spooler -StartupType Disabled

D’après l’expérience de Dvir, 90 % des serveurs ne nécessitent pas Print Spooler. Il s’agit de la configuration par défaut pour la plupart d’entre eux, elle est donc généralement activée. Par conséquent, sa désactivation peut résoudre 90 % de votre problème et avoir un impact minimal sur la production.

Sur des infrastructures volumineuses et complexes, il peut être difficile de décider où utiliser le spouleur d’impression.

Voici quelques exemples qui nécessitent un spouleur d’impression :

  1. Lorsque vous utilisez les services Citrix,
  2. serveurs de fax,
  3. Toute application nécessitant l’impression virtuelle ou physique de fichiers PDF, XPS, etc. Services de facturation et applications payantes, par exemple.

Voici quelques exemples lorsque le spouleur d’impression n’est pas nécessaire mais est activé par défaut :

  1. Contrôleur de domaine et Active Directory – Le principal risque de cette vulnérabilité peut être neutralisé en pratiquant une cyber-hygiène de base. Il n’est pas logique d’activer Print Spooler sur les serveurs DC et AD.
  2. Serveurs membres tels que SQL, système de fichiers et serveurs Exchange.
  3. Machines qui ne nécessitent pas d’impression.
READ  Free Fall Guys atteint 20 millions de joueurs dans les 48 premières heures

Certaines autres étapes de renforcement suggérées par Dvir pour les périphériques basés sur le spouleur d’impression incluent :

  1. Remplacez le spouleur d’impression vulnérable par un service non Microsoft.
  2. En modifiant « Autoriser le spouleur d’impression à accepter les connexions client », vous pouvez limiter l’accès des utilisateurs et des pilotes au spouleur d’impression aux groupes qu’ils doivent utiliser.
  3. Désactivez le spouleur d’impression en ligne dans le groupe de compatibilité pré-Windows 2000.
  4. Assurez-vous que Point and Print n’est pas configuré sur No Warning – vérifiez la clé de registre SOFTWARE / Policies / Microsoft / Windows NT / Printers / PointAndPrint / NoElevationOnInstall pour la valeur DWORD 1.
  5. Désactiver EnableLUA Vérifiez la clé de registre SOFTWARE / Microsoft / Windows / CurrentVersion / Policies / System / EnableLUA pour une valeur DWORD de 0.

Voici ce que vous devez faire ensuite pour vous assurer que votre organisation est en sécurité :

  1. Déterminez où utiliser le spouleur d’impression sur votre réseau.
  2. Configurez votre réseau pour trouver quels périphériques doivent utiliser le spouleur d’impression.
  3. Désactivez le spouleur d’impression sur les appareils que vous n’utilisez pas.
  4. Pour les périphériques nécessitant Print Spooler, configurez-les de manière à réduire la surface d’attaque.

En outre, pour trouver des preuves possibles de l’exploit, vous devez également surveiller les entrées de registre Microsoft-Windows-PrintService/Admin. Il peut y avoir des entrées avec des messages d’erreur indiquant que le spouleur d’impression ne peut pas charger des DLL de module supplémentaires, bien que cela puisse également se produire si un attaquant emballe une DLL légitime requise par le spouleur d’impression.

La recommandation finale de Dvir est de mettre en œuvre ces recommandations par Renforcement des outils d’automatisation. Sans automatisation, vous passeriez d’innombrables heures à essayer de durcir manuellement et pourriez vous retrouver avec des vulnérabilités ou faire planter les systèmes.

READ  Twitter révèle «la plupart des tweets sur les jeux» au premier semestre 2022

Après avoir choisi votre plan d’action, un Outil d’automatisation du durcissement Il détectera où Print Spooler est activé, où il est déjà utilisé, et le désactivera ou le reconfigurera automatiquement.

Click to comment

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

You May Also Like

Tech

C’est enfin là ! La conférence mondiale annuelle des développeurs d’Apple débutera lundi avec le discours d’ouverture traditionnel à 10h00 PST. Lors de cet...

Tech

F-Zero GX (Dauphin) sur Steam Deck (image: Via Twitter) Valve vient de sortir le Steam Deck – un nouvel ordinateur portable de jeu. Il...

Uncategorized

Est-ce le début de la fin de la norme de recharge des véhicules électriques CHAdeMO? Ses jours sont définitivement comptés, du moins en France....

World

biélorusse la sprinteuse Kristina Tsimanskaya Jeudi, elle a déclaré qu’elle avait pris la décision de fuir Tokyo en Pologne après avoir reçu des avertissements...

Copyright © 2020 ZoxPress Theme. Theme by MVP Themes, powered by WordPress.