JARIRIYAWAT / Shutterstock.com
Malgré les nombreuses tentatives de Microsoft pour corriger avec succès PrintNightmare, ce n’est toujours pas fini. Maintenant, une autre vulnérabilité du spouleur d’impression PrintNightmare de Windows 10 a été découverte, et elle attire les attaquants de rançongiciels à la recherche d’un accès facile aux privilèges du système.
Microsoft a publié plusieurs correctifs en juillet et en août pour remédier à la vulnérabilité et a ajusté le processus par lequel les utilisateurs peuvent installer de nouveaux pilotes d’imprimante. Cependant, les chercheurs ont toujours trouvé une solution de contournement pour lancer une attaque via une nouvelle vulnérabilité du spouleur d’impression, baptisée CVE-2021-36958.
Dans un article du Microsoft Security Response Center, Microsoft décrit la vulnérabilité: «Une vulnérabilité d’exécution de code à distance existe lorsque le service Windows Print Spooler exécute de manière incorrecte des opérations de fichiers privilégiées. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes avec tous les droits d’utilisateur."
Microsoft répertorie également la solution de contournement de la vulnérabilité comme "l’arrêt et la désactivation du service Print Spooler". L’attaquant aura besoin des privilèges d’administrateur pour installer les pilotes d’imprimante nécessaires ; cependant, si un pilote est déjà installé, ces privilèges ne sont pas nécessaires pour connecter une imprimante. De plus, il n’est pas nécessaire d’installer les pilotes sur les clients, de sorte que la vulnérabilité reste, eh bien, vulnérable dans tous les cas où un utilisateur se connecte à une imprimante distante.
Les attaquants de ransomware, naturellement, profitent pleinement des exploits, selon Bleeping Computer. Magniber, un groupe de rançongiciels, a récemment été signalé par CrowdStrike comme ayant été découvert dans le cadre d’une tentative d’exploitation des vulnérabilités non corrigées contre les victimes sud-coréennes.
Il n’y a pas encore de mot – de Microsoft ou d’ailleurs – quant à savoir si la vulnérabilité PrintNightmare est en cours. En fait, CrowdStrike estime "que la vulnérabilité PrintNightmare associée au déploiement de ransomwares continuera probablement d’être exploitée par d’autres acteurs de la menace".
via Windows Central