PrintNightmare : la vulnérabilité qui a secouée les systèmes Windows

Ces dernières années, le paysage de la cybersécurité n'a cessé d'évoluer, avec l'apparition régulière de nouvelles vulnérabilités et de nouveaux exploits. L'une de ces vulnérabilités qui a fait les gros titres en 2021 est PrintNightmare, également connue sous le nom de CVE-2021-1675/34527. Cette vulnérabilité cible le service Windows Print Spooler, permettant aux attaquants d'élever leurs privilèges et d'obtenir un accès non autorisé aux systèmes. Dans ce blog, nous allons explorer les détails de PrintNightmare, son impact sur les systèmes Windows et les mesures de remédiation qui peuvent être prises pour atténuer le risque.

Comprendre les principes du spooleur d’impression (Print Spooler)

Avant de plonger dans les détails de PrintNightmare, il est essentiel d'avoir une compréhension de base du service Print Spooler. Le service Print Spooler est un composant essentiel du système d'exploitation Windows qui gère les travaux d'impression envoyés aux imprimantes ou aux serveurs d'impression. Il joue le rôle d'intermédiaire entre l'application qui demande le travail d'impression et le processus d'impression proprement dit. Le déroulement d'un processus d'impression implique plusieurs composants, notamment l'application, l'interface GDI (Graphics Device Interface) et l'interface winspool.drv, le serveur API spoolsv.exe et le routeur spoolss.dll.

La vulnérabilité « PrintNightmare »

PrintNightmare est une vulnérabilité d'exécution de code à distance qui affecte le service Print Spooler dans les systèmes d'exploitation Windows. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire avec des privilèges élevés, compromettant ainsi la sécurité du système. La vulnérabilité a d'abord été identifiée comme un problème d'escalade des privilèges locaux (LPE) et s'est vu attribuer le numéro CVE-2021-1675. Cependant, il a été découvert par la suite que les correctifs publiés pour remédier à l'escalade des privilèges locaux étaient inefficaces et que la vulnérabilité pouvait toujours être exploitée pour l'exécution de code à distance (RCE). En conséquence, la vulnérabilité a été reclassée en tant que CVE-2021-34527.

La cause première de la vulnérabilité PrintNightmare réside dans la manière dont le service Print Spooler gère l'installation des pilotes. La méthode vulnérable, RpcAddPrinterDriverEx(), permet l'installation de pilotes à distance par des utilisateurs disposant du droit SeLoadDriverPrivilege, qui est généralement limité aux administrateurs. Cependant, l'exploit contourne la vérification de l'authentification en fournissant des fichiers DLL malveillants via le paramètre pConfigFile, qui peut être un chemin UNC. Cela permet à un attaquant de charger des fichiers DLL arbitraires, conduisant à l'exécution de code avec des privilèges élevés.

Exploitation

Étape 1 : Démarrer un environnement virtuel en python et installer impacket.

Étape 2 : Cloner le dépôt pour l'exploit « printnightmare ».

Étape 3 : Déterminer si les protocoles d'impression nécessaires MS-RPRN et MS-PAR sont en cours d'exécution sur le système cible.

Étape 4 : Créer une DLL malveillante à l'aide de msfvenom.

Étape 5 : Héberger la DLL malveillante à l'aide d'un serveur smb.

Étape 6 : Commencez à écouter les demandes de connexion entrantes à l'aide de netcat.

Étape 7 : Exécutez l'exploit printnightmare.

Nous pouvons voir un message d’erreur mais que l’exécution s’est bien passé

Corrections et remédiation

En réponse à la vulnérabilité PrintNightmare, Microsoft a publié plusieurs correctifs pour résoudre le problème. Toutefois, l'efficacité de ces correctifs a fait l'objet d'un débat, des cas de contournement et d'exploitation continue ayant été signalés. Le 6 juillet, Microsoft a publié une mise à jour qui limite la possibilité d'installer des pilotes d'imprimante aux seuls administrateurs. Cette mesure vise à réduire le risque d'installations non autorisées de pilotes et à prévenir les attaques potentielles utilisant PrintNightmare.

Pour protéger les systèmes contre PrintNightmare et d'autres vulnérabilités similaires, il est essentiel de maintenir les systèmes Windows à jour avec les derniers correctifs de sécurité. La vérification régulière des mises à jour et leur application rapide peuvent réduire considérablement le risque d'exploitation. En outre, la désactivation du service Print Spooler sur les systèmes qui n'en ont pas besoin peut atténuer davantage la vulnérabilité.

PrintNightmare est une vulnérabilité importante qui a mis en évidence les risques de sécurité associés au service Windows Print Spooler. Sa capacité à élever les privilèges et à exécuter du code arbitraire en a fait une cible populaire pour les attaquants. Il est essentiel que les organisations et les particuliers comprennent la vulnérabilité et ses méthodes d'exploitation pour protéger leurs systèmes contre les attaques potentielles. En restant informé des derniers correctifs et en mettant en œuvre les mesures correctives appropriées, l'impact de PrintNightmare peut être minimisé, garantissant ainsi la sécurité et l'intégrité du système Windows.

Offensive fox  est un réseau diversifié de consultants experts mettant en avant la démocratisation des tests d’intrusion afin d’assurer une sécurité pour tous. Nous vous aidons à améliorer la posture de sécurité de votre organisation, contactez-nous dès aujourd’hui pour discuter de vos besoins en matière de tests de sécurité. Notre équipe de professionnels de la sécurité peut vous aider à identifier les vulnérabilités et les faiblesses de vos systèmes et vous fournir des recommandations pour y remédier.

Recent Posts