CVE-2021-1675 est une vulnérabilité Windows critique avec une preuve de concept disponible qui pourrait permettre à des attaquants distants d'exécuter du code. Le code PoC a été partagé sur GitHub plus tôt cette semaine, et démonté en quelques heures. Cependant, ces quelques heures ont suffi pour que le code soit copié.
La vulnérabilité PrintNightmare
La vulnérabilité a été appelée PrintNightmare, tel qu'il existe dans le spouleur d'impression Windows. Il a été initialement abordé dans le Patch Tuesday du mois dernier comme une question d'élévation de privilèges insignifiante. Cependant, des chercheurs en sécurité de Tencent et du NSFOCUS TIANJI Lab ont découvert que le bogue CVE-2021-1675 pouvait être déployé pour Attaques RCE, changeant automatiquement son statut en critique:
Quand il a été initialement divulgué dans la mise à jour du Patch Tuesday de juin, il a été décrit comme une élévation de faible gravité de la vulnérabilité des privilèges. Cette désignation a été mise à jour en juin 21 pour indiquer une gravité critique et le potentiel de RCE. La découverte a été attribuée à Zhipeng Huo de Tencent Security Xuanwu Lab, Piotr Madej de l'AFINE et Yunhai Zhang du NSFOCUS TIANJI Lab, selon Rédaction de Tenable.
Selon le chercheur de sécurité Marius Sandbu, « la vulnérabilité elle-même est possible parce que, Le service Spouleur d'impression Microsoft Windows ne parvient pas à restreindre l'accès à RpcAddPrinterDriverEx() fonction, qui peut permettre à un attaquant distant authentifié d'exécuter du code arbitraire avec les privilèges SYSTEM sur un système vulnérable.
Les produits Microsoft concernés incluent tous les systèmes d'exploitation de Windows 7 Windows 10, et tout depuis le serveur 2008 au serveur 2019, selon Dirk Schrader, vice-président mondial de la recherche en sécurité chez New Net Technologies (NNT), qui a partagé son point de vue avec ThreatPost.
CVE-2021-1675 Exploitation
L'exploitation de la vulnérabilité PrintNightmare pourrait permettre aux attaquants distants d'obtenir un contrôle total sur les systèmes affectés. L'exécution de code à distance pourrait être réalisée en ciblant un utilisateur authentifié auprès du service de spouleur.
« Sans authentification, la faille pourrait être exploitée pour élever les privilèges, faire de cette vulnérabilité un maillon précieux dans une chaîne d'attaque,” Tenable ajouté.
Il est à noter que ce n'est pas le premier problème de spouleur d'impression Windows identifié par les chercheurs. En réalité, le service a une longue histoire de vulnérabilités. Par exemple, ces failles étaient associées aux fameuses attaques Stuxnet.
Un exemple plus récent inclut CVE-2020-1337, un spouleur d'impression zero-day divulgué lors des Black Hat et DEF CON de 2020. La faille était un contournement de correctif pour CVE-2020-1048, un autre bogue du spouleur d'impression Windows corrigé en mai 2020.
Les chercheurs notent également que le patch disponible peut ne pas être complètement efficace. Cependant, d'autres mesures d'atténuation sont possibles, comme mettre le spouleur d'impression hors ligne. Enfin, la plupart des points de terminaison seraient à l'abri de l'exploit PrintNightmare avec les règles par défaut intégrées du pare-feu Windows.