Microsoft confirme une autre vulnérabilité du spouleur d'impression

December 02, 2021
DansNouvelles La Sécurité Sur Internet

Microsoft a confirmé une autre vulnérabilité de bogue zero-day liée à son utilitaire Print Spooler, malgré les correctifs de sécurité du spouleur récemment publiés.

A ne pas confondre avec l'initiale Vulnérabilité PrintNightmare, ou la autre exploit récent du spouleur d'impression, ce nouveau bug permettrait à un attaquant local d'obtenir les privilèges système. Microsoft enquête toujours sur le bogue, appelé CVE-2021-36958, il n'a donc pas encore été en mesure de vérifier quelles versions de Windows sont concernées. Il n'a pas non plus annoncé quand il publierait une mise à jour de sécurité, mais indique que les solutions sont généralement publiées tous les mois.

Employé de bureau fatigué — Geber86 / Getty Images

Selon BipOrdinateur, la raison pour laquelle les récentes mises à jour de sécurité de Microsoft n'aident pas est un oubli concernant les privilèges d'administrateur. L'exploit consiste à copier un fichier qui ouvre une invite de commande et un pilote d'impression, et des privilèges d'administrateur sont nécessaires pour installer un nouveau pilote d'impression.

Cependant, les nouvelles mises à jour ne nécessitent que des privilèges d'administrateur pour l'installation du pilote. Si le pilote est déjà installé, cette exigence n'est pas requise. Si le pilote est déjà installé sur un ordinateur client, un attaquant aurait simplement besoin de se connecter à une imprimante distante pour obtenir un accès complet au système.

Employé de bureau stressé — Tatomm / Getty Images

Comme pour les précédents exploits du spouleur d'impression, Microsoft recommande de désactiver complètement le service (s'il est « approprié » pour votre environnement). Bien que cela fermerait la vulnérabilité, cela désactiverait également la possibilité d'imprimer à distance et localement.

Au lieu de vous empêcher de pouvoir imprimer entièrement, BleepingComputer suggère d'autoriser uniquement votre système à installer des imprimantes à partir de serveurs que vous autorisez personnellement. Il note cependant que cette méthode n'est pas parfaite, car les attaquants pourraient toujours installer les pilotes malveillants sur un serveur autorisé.