{"id":17307,"date":"2021-07-09T16:25:22","date_gmt":"2021-07-09T14:25:22","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17307"},"modified":"2022-05-05T13:44:14","modified_gmt":"2022-05-05T11:44:14","slug":"printnightmare-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/printnightmare-vulnerability\/17307\/","title":{"rendered":"Windows Print Spooler : une vuln\u00e9rabilit\u00e9 appel\u00e9e PrintNightmare"},"content":{"rendered":"

Fin juin, des chercheurs en s\u00e9curit\u00e9 ont \u00e9chang\u00e9 sur PrintNightmare, une vuln\u00e9rabilit\u00e9 qui se trouve dans le service Windows Print Spooler. Le correctif publi\u00e9 lors du \u00ab\u00a0Patch Tuesday\u00a0\u00bb de juin \u00e9tait cens\u00e9 corriger la vuln\u00e9rabilit\u00e9, et c\u2019est ce qu\u2019elle a fait, mais il s\u2019est av\u00e9r\u00e9 qu\u2019il y en avait deux. Ce patch a en effet corrig\u00e9 la vuln\u00e9rabilit\u00e9 CVE-2021-1675<\/a> mais pas la CVE-2021-34527<\/a>. Comme le spouleur d\u2019impression est actif par d\u00e9faut dans Windows, les malfaiteurs peuvent se servir de ces vuln\u00e9rabilit\u00e9s afin de prendre le contr\u00f4le des ordinateurs et serveurs poss\u00e9dant ce syst\u00e8me d\u2019exploitation qui n\u2019ont pas \u00e9t\u00e9 mis \u00e0 jour.<\/p>\n

PrintNightmare est le nom que Microsoft a donn\u00e9 \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2021-34527 et non \u00e0 la CVE-2021-1675. Cependant, il est courant d\u2019utiliser ce nom pour se r\u00e9f\u00e9rer aux deux vuln\u00e9rabilit\u00e9s.<\/p>\n

Nos experts ont \u00e9tudi\u00e9 en d\u00e9tail ces deux derni\u00e8res pour s\u2019assurer que [kesb placeholder]les solutions de s\u00e9curit\u00e9 de Kaspersky[kesb placeholder] \u00e9quip\u00e9es d\u2019une technologie de pr\u00e9vention des exploits<\/a> ainsi que d\u2019une protection<\/a> qui repose sur l\u2019analyse comportementale emp\u00eachent les tentatives d\u2019exploitation.<\/p>\n

En quoi PrintNightmare est-elle dangereuse<\/h2>\n

La vuln\u00e9rabilit\u00e9 PrintNightmare est consid\u00e9r\u00e9e comme extr\u00eamement dangereuse pour deux raisons. Premi\u00e8rement, le fait que le spouler d\u2019impression soit activ\u00e9 par d\u00e9faut sur toutes les versions Windows, y compris dans les contr\u00f4leurs de domaine et sur les ordinateurs poss\u00e9dant des privil\u00e8ges d\u2019administration, rend ces ordinateurs vuln\u00e9rables.<\/p>\n

Deuxi\u00e8mement, un malentendu entre l\u2019\u00e9quipe de recherche (ou alors une simple erreur) a entra\u00een\u00e9 l\u2019exploitation d\u2019une preuve de concept<\/a> apr\u00e8s la publication en ligne<\/a> de PrintNightmare. Ces chercheurs, convaincus que le correctif publi\u00e9 en juin par Microsoft avait r\u00e9gl\u00e9 le probl\u00e8me, ont partag\u00e9 leur travail avec la communaut\u00e9 d\u2019experts. Cependant, l\u2019exploit \u00e9tait toujours dangereux. La preuve de concept a rapidement \u00e9t\u00e9 supprim\u00e9e, mais certaines personnes l\u2019avaient d\u00e9j\u00e0 copi\u00e9e. C\u2019est pour cette raison que nos experts Kaspersky s\u2019attendent \u00e0 une augmentation des tentatives d\u2019exploitation de PrintNightmare.<\/p>\n

Les exploitations des vuln\u00e9rabilit\u00e9s<\/h2>\n

La vuln\u00e9rabilit\u00e9 CVE-2021-1675<\/a> est une vuln\u00e9rabilit\u00e9 de type \u00e9l\u00e9vation de privil\u00e8ge<\/a>. Elle permet au pirate informatique poss\u00e9dant des privil\u00e8ges d\u2019acc\u00e8s restreints de cr\u00e9er et d\u2019utiliser un fichier malveillant DLL afin d\u2019exploiter une faille de s\u00e9curit\u00e9 et d\u2019obtenir des privil\u00e8ges plus \u00e9lev\u00e9s. Cependant, ceci n\u2019est possible que si le pirate informatique a d\u00e9j\u00e0 acc\u00e8s \u00e0 l\u2019ordinateur vuln\u00e9rable en question. Selon Microsoft, cette vuln\u00e9rabilit\u00e9 n\u2019est pas tr\u00e8s dangereuse.<\/p>\n

La vuln\u00e9rabilit\u00e9 CVE-2021-34527<\/a> est bien plus dangereuse. Bien que similaire, il s\u2019agit d\u2019une vuln\u00e9rabilit\u00e9 permettant d\u2019ex\u00e9cuter un code arbitraire \u00e0 distance, ce qui signifie qu\u2019elle permet une injection DLL \u00e0 distance. Microsoft a d\u00e9j\u00e0 observ\u00e9 des exploits de cette vuln\u00e9rabilit\u00e9. Vous trouverez sur Securelist<\/a> une description plus d\u00e9taill\u00e9e de ces deux vuln\u00e9rabilit\u00e9s et des fa\u00e7ons dont elles peuvent \u00eatre exploit\u00e9es.<\/p>\n

Puisque les malfaiteurs peuvent utiliser PrintNightmare pour acc\u00e9der aux donn\u00e9es de l\u2019infrastructure de l\u2019entreprise, ils peuvent \u00e9galement se servir de l\u2019exploit pour mener une attaque de ransomware.<\/p>\n

Comment prot\u00e9ger votre infrastructure contre PrintNightmare<\/h2>\n

La premi\u00e8re chose \u00e0 faire pour emp\u00eacher l\u2019exploit de PrintNightmare est d\u2019installer tous les correctifs publi\u00e9s par Microsoft en juin<\/a> et en juillet<\/a>. Si vous ne pouvez pas installer les correctifs, vous trouverez \u00e9galement sur la derni\u00e8re page quelques m\u00e9thodes alternatives\u2013 dont l\u2019une d\u2019entre elles n\u2019implique pas de d\u00e9sactiver Windows Print Spooler.<\/p>\n

Ceci dit, nous recommandons fortement de d\u00e9sactiver Windows Print Spooler<\/a> sur les appareils qui n\u2019en ont pas besoin, ce qui est le cas notamment des serveurs des contr\u00f4leurs de domaine\u00a0: il est tr\u00e8s peu probable qu\u2019ils aient besoin de la fonction d\u2019impression.<\/p>\n

De plus, chaque ordinateur et serveur doit poss\u00e9der des solutions de s\u00e9curit\u00e9 des terminaux fiables<\/a> afin d\u2019emp\u00eacher les tentatives d\u2019exploitation des vuln\u00e9rabilit\u00e9s connues et inconnues, dont PrintNightmare.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Mettez \u00e0 jour toutes les versions de Windows imm\u00e9diatement pour corriger les vuln\u00e9rabilit\u00e9s CVE-2021-1675 et CVE-2021-34527 dans le service Windows Print Spooler. <\/p>\n","protected":false},"author":2706,"featured_media":17308,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[790,322,23,4165],"class_list":{"0":"post-17307","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-mises-a-jour","11":"tag-vulnerabilites","12":"tag-windows","13":"tag-zeroday"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/printnightmare-vulnerability\/17307\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/printnightmare-vulnerability\/23044\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/printnightmare-vulnerability\/18526\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/printnightmare-vulnerability\/9266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/printnightmare-vulnerability\/24996\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/printnightmare-vulnerability\/23004\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/printnightmare-vulnerability\/22297\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/printnightmare-vulnerability\/25616\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/printnightmare-vulnerability\/25086\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/printnightmare-vulnerability\/31025\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/printnightmare-vulnerability\/9814\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/printnightmare-vulnerability\/40520\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/printnightmare-vulnerability\/17782\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/printnightmare-vulnerability\/15021\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/printnightmare-vulnerability\/27047\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/printnightmare-vulnerability\/31190\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/printnightmare-vulnerability\/27276\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/printnightmare-vulnerability\/24088\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/printnightmare-vulnerability\/29420\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/printnightmare-vulnerability\/29212\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17307","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=17307"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17307\/revisions"}],"predecessor-version":[{"id":17311,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17307\/revisions\/17311"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/17308"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=17307"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=17307"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=17307"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}