Cette semaine, impression de cauchemar La vulnérabilité Microsoft Print Spooler (CVE-2021-34527) a été mise à niveau de « faible » à « critique ».
Cela est dû à une preuve de concept publiée sur GitHub, dont les attaquants peuvent profiter pour accéder aux contrôleurs de domaine.
comme nous sommes j’ai mentionné plus tôtMicrosoft a déjà publié un correctif en juin 2021, mais cela n’a pas suffi à arrêter les exploits. Les attaquants peuvent toujours utiliser le spouleur d’impression lorsqu’ils se connectent à distance. Vous pouvez trouver tout ce que vous devez savoir sur cette vulnérabilité dans cet article et comment vous pouvez (et pouvez) l’atténuer.
Bobine d’impression en quelques mots : Print Spooler est un service Microsoft de gestion et de surveillance de l’impression de fichiers. Ce service fait partie des services Microsoft les plus anciens et a eu des mises à jour de maintenance minimales depuis sa sortie.
Cette fonctionnalité est activée par défaut sur chaque appareil Microsoft (serveurs et points de terminaison).
Bug de cauchemar : Une fois que l’attaquant obtient un accès utilisateur limité au réseau, il pourra se connecter (directement ou à distance) au spouleur d’impression. Étant donné que le spouleur d’impression a un accès direct au noyau, un attaquant peut l’utiliser pour accéder au système d’exploitation, exécuter du code à distance avec des privilèges système et éventuellement attaquer le contrôleur de domaine.
Votre meilleure option pour atténuer la vulnérabilité PrintNightmare est de désactiver le spouleur d’impression sur chaque serveur et/ou poste de travail sensible (tels que les postes de travail d’administrateur, les postes de travail en direct avec Internet et les postes de travail sans impression).
C’est ce que dit Dvir Gorin, expert en renforcement et responsable de la technologie chez فعله Solutions logicielles CalCom, suggère que votre première étape vers l’atténuation.
Suivez ces étapes pour désactiver le service Spouleur d’impression sous Windows 10 :
- Ouvrez le menu Démarrer.
- Recherchez PowerShell, faites un clic droit dessus et sélectionnez Exécuter en tant qu’administrateur.
- Tapez la commande et appuyez sur Entrée : arrêter le service – mise en cache des noms – forcer
- Utilisez cette commande pour empêcher le service de redémarrer la sauvegarde lors du redémarrage : Set-Service -Name Spooler -StartupType Disabled
D’après l’expérience de Dvir, 90 % des serveurs ne nécessitent pas Print Spooler. Il s’agit de la configuration par défaut pour la plupart d’entre eux, elle est donc généralement activée. Par conséquent, sa désactivation peut résoudre 90 % de votre problème et avoir un impact minimal sur la production.
Sur des infrastructures volumineuses et complexes, il peut être difficile de décider où utiliser le spouleur d’impression.
Voici quelques exemples qui nécessitent un spouleur d’impression :
- Lorsque vous utilisez les services Citrix,
- serveurs de fax,
- Toute application nécessitant l’impression virtuelle ou physique de fichiers PDF, XPS, etc. Services de facturation et applications payantes, par exemple.
Voici quelques exemples lorsque le spouleur d’impression n’est pas nécessaire mais est activé par défaut :
- Contrôleur de domaine et Active Directory – Le principal risque de cette vulnérabilité peut être neutralisé en pratiquant une cyber-hygiène de base. Il n’est pas logique d’activer Print Spooler sur les serveurs DC et AD.
- Serveurs membres tels que SQL, système de fichiers et serveurs Exchange.
- Machines qui ne nécessitent pas d’impression.
Certaines autres étapes de renforcement suggérées par Dvir pour les périphériques basés sur le spouleur d’impression incluent :
- Remplacez le spouleur d’impression vulnérable par un service non Microsoft.
- En modifiant « Autoriser le spouleur d’impression à accepter les connexions client », vous pouvez limiter l’accès des utilisateurs et des pilotes au spouleur d’impression aux groupes qu’ils doivent utiliser.
- Désactivez le spouleur d’impression en ligne dans le groupe de compatibilité pré-Windows 2000.
- Assurez-vous que Point and Print n’est pas configuré sur No Warning – vérifiez la clé de registre SOFTWARE / Policies / Microsoft / Windows NT / Printers / PointAndPrint / NoElevationOnInstall pour la valeur DWORD 1.
- Désactiver EnableLUA Vérifiez la clé de registre SOFTWARE / Microsoft / Windows / CurrentVersion / Policies / System / EnableLUA pour une valeur DWORD de 0.
Voici ce que vous devez faire ensuite pour vous assurer que votre organisation est en sécurité :
- Déterminez où utiliser le spouleur d’impression sur votre réseau.
- Configurez votre réseau pour trouver quels périphériques doivent utiliser le spouleur d’impression.
- Désactivez le spouleur d’impression sur les appareils que vous n’utilisez pas.
- Pour les périphériques nécessitant Print Spooler, configurez-les de manière à réduire la surface d’attaque.
En outre, pour trouver des preuves possibles de l’exploit, vous devez également surveiller les entrées de registre Microsoft-Windows-PrintService/Admin. Il peut y avoir des entrées avec des messages d’erreur indiquant que le spouleur d’impression ne peut pas charger des DLL de module supplémentaires, bien que cela puisse également se produire si un attaquant emballe une DLL légitime requise par le spouleur d’impression.
La recommandation finale de Dvir est de mettre en œuvre ces recommandations par Renforcement des outils d’automatisation. Sans automatisation, vous passeriez d’innombrables heures à essayer de durcir manuellement et pourriez vous retrouver avec des vulnérabilités ou faire planter les systèmes.
Après avoir choisi votre plan d’action, un Outil d’automatisation du durcissement Il détectera où Print Spooler est activé, où il est déjà utilisé, et le désactivera ou le reconfigurera automatiquement.