Vue d'ensemble
Cet article traitera des informations relatives aux vulnérabilités suivantes :
| CVE | Produit affecté | CVSSv3 |
|---|---|---|
| CVE-2021-1675 | Service de spouleur d'impression Windows |
9,8 |
| CVE-2021-34527 | Service de spouleur d'impression Windows | 8.8 |
Contexte
Il y a actuellement deux CVEs importantes :
- En juin 2021, une vulnérabilité d'exécution de code à distance (RCE) dans le service de spouleur d'impression Windows a été identifiée et CVE-2021-1675 a été attribuée.
- On July 1, Microsoft released an advisory for CVE-2021-34527. Cela a été qualifié de 'PrintNightmare' par les médias. Microsoft note que ce CVE est un problème distinct et séparé du défaut abordé par CVE-2021-1675.
Impact
La vulnérabilité la plus notable divulguée dans le cadre de cet avis est CVE-2021-34527 (PrintNightmare). Il s'agit d'une vulnérabilité d'exécution de code à distance qui affecte le service de spouleur d'impression de Windows et ne nécessite pas qu'un système ait une imprimante connectée pour être vulnérable.
CVE-2021-1675
L'exploitation de CVE-2021-1675 pourrait donner aux attaquants à distance un contrôle total des systèmes vulnérables. Pour réaliser une RCE, les attaquants devraient cibler un utilisateur authentifié au service de spouleur. Sans authentification, le défaut pourrait être exploité pour élever les privilèges, faisant de cette vulnérabilité un lien précieux dans une chaîne d'attaque.
CVE-2021-1675 a été traité par une mise à jour de sécurité de Microsoft publiée le 8 juin 2021.
CVE-2021-34527
CVE-2021-34527, announced on July 1, is also an RCE vulnerability within the Windows Print Spooler service. L'exploitation réussie de la vulnérabilité permettrait aux attaquants d'exécuter du code arbitraire avec des privilèges SYSTEM, y compris l'installation de programmes, la visualisation/modification/suppression de données, ou la création de nouveaux comptes avec des droits utilisateur complets. Bien que cela nécessite encore un compte utilisateur authentifié comme avec CVE-2021-1675.
Une attaque doit impliquer un utilisateur authentifié appelant RpcAddPrinterDriverEx().
Toutes les versions de Windows sont potentiellement vulnérables.
La Résolution Cato
Dans le but de protéger nos clients, Cato a pris les mesures suivantes :
- Déploiement global d'un ensemble de signatures du Système de Prévention des Intrusions (IPS) pour atténuer cette menace de vulnérabilité.
- Si vous avez activé l'IPS de Cato, vous êtes protégé de cette exploitation sans nécessiter de changements manuels de configuration (ou de mise à jour de la base de données des signatures IPS) de votre part. Cependant, nous vous conseillons de suivre les avis des fournisseurs pour atténuer l'exploitation à la source.
- Dans le cas où un trafic malveillant non chiffré est identifié qui correspond au profil de signature de CVE-2021-1675 ou CVE-2021-34527, ce trafic sera bloqué et un enregistrement de preuve sera généré au sein de l'application de gestion Cato dans la fenêtre Découverte des événements.
Note : Il est recommandé de suivre le conseil de sécurité de Microsoft et de désactiver le service de spouleur d'impression sur les plateformes impactées jusqu'à ce qu'un patch Microsoft ait été publié pour traiter cette vulnérabilité.
De plus, chez Cato, nous recommandons que vous gardiez toujours vos systèmes à jour avec les dernières mises à jour de sécurité de Microsoft et les stratégies d'atténuation du fournisseur. Cela peut aider à atténuer toute vulnérabilité supplémentaire qui pourrait survenir avec les produits Microsoft.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.