Importantes vulnérabilités Microsoft pendant le mois de Juillet 2021

En Juillet 2021, deux vulnérabilités majeures ciblant les machines Windows ont été découvertes par des chercheurs en cybersécurité. Ces dernières exploitent le spouleur d’impression des machines Windows et permettent à une personne malveillante d'exécuter du code malicieux sur les machines vulnérables avec des privilèges SYSTÈME (administrateur). À titre d’exemple, l’attaquant pourrait installer des programmes non autorisés (incluant des ransomwares), supprimer des données ou encore créer d’autres utilisateurs sur le système Windows impacté. Si pour des postes de travail l’impact peut être plus léger, il peut être majeur si des serveurs sont concernés.

Dans cet article, nous examinerons la forme que prennent les exploits, les mesures prises par Microsoft pour remédier aux vulnérabilités et celles prises par StreamScan pour protéger ses clients contre cette grave menace.


Ces vulnérabilités sont:

CVE-2021-1625

Pour exploiter la vulnérabilité, l’attaquant doit préalablement être authentifié sur la machine victime. Une confusion a régné pendant quelques jours concernant le nom de cette vulnérabilité mais il faut noter qu’elle ne s’appelle pas PrintNightmare. Ce nom est attribué plutôt à une autre vulnérabilité CVE-2021-34527.

Notez que la vulnérabilité CVE-2021-1675 est similaire mais complètement distincte de la vulnérabilité CVE-2021-34527.

CVE-2021-34527 (PrintNighmare)

L’exploitation de la vulnérabilité se faisant via le réseau, la personne malveillante n’a pas besoin d’être connectée sur la machine atteinte pour exploiter la vulnérabilité.

Ainsi, on retiendra que la vulnérabilité CVE-2021-1675 s’exploite en local par un utilisateur authentifié sur la machine, tandis que la vulnérabilité CVE-2021-34527 s’exploite à travers le réseau. Il apparaît donc clairement que l’urgence de la correction concerne la CVE CVE-2021-34527.


L’importance de prendre action le plus rapidement possible face aux vulnérabilités fortement médiatisées

Lorsque des vulnérabilités de sécurité majeures sont signalées et médiatisées, il faut toujours s’attendre dans les jours qui suivent à voir apparaître sur Internet des programmes informatiques [communément appelés Exploits ou POC (proof of concept)] qui permettent de les exploiter.

Souvent quand la médiatisation est faite, il est déjà tard car la vulnérabilité est déjà en cours d’exploitation par des personnes malicieuses.

La réponse de Microsoft

Lorsque Microsoft a pris connaissance de l'existence des 2 vulnérabilités, il a tenté de créer des correctifs de sécurité pour les corriger. Ces correctifs se sont avérés inefficaces, ce qui a conduit Microsoft à proposer des mesures de contournement (communément appelées Workaround) qui peuvent être consultés sur le lien suivant : https://msrc.microsoft.com/upd...

  • Désactiver le spouleur d’impression sur les machines Windows vulnérables. La conséquence est que les machines ne peuvent plus imprimer, ce qui est souvent inacceptable.
  • Désactiver l’impression à distance entrante via la stratégie de groupe. En appliquant cette mesure, l’exploitation de la vulnérabilité n’est plus possible à distance. Il devient aussi impossible d’imprimer à distance.

Ces deux options ont été proposées par Microsoft en attendant que des correctifs soient créés, mais au regard des contraintes qu’elles créent, ces dernières sont difficiles à appliquer.


L’option la plus viable

En partant des recommandations de Microsoft, nous avons suggéré à nos clients d’appliquer les mesures suivantes qui sont plus adaptées:

Vulnérabilité pas encore complètement corrigées

Microsoft a fini par créer des correctifs face à ces vulnérabilités notamment PrintNighmare. Toutefois, des problèmes ont été constatés lors de l’application des correctifs pour certains types d’imprimantes selon un article de ZDNET (https://www.zdnet.com/article/microsofts-printnightmare-patch-is-now-causing-problems-for-some-printers/). La solution la plus viable demeure donc l'application des mesures de contournement.


La réponse de Streamscan

Une fois que ces vulnérabilités ont été signalées, comme il est d’usage dans les cas de vulnérabilités majeures, Streamscan a mis en place une cellule de gestion de crise qui a suivi l’évolution de la situation. Nous avons alerté nos clients et nous nous sommes assurés que partout où il est nécessaire, les mesures de contournement et les correctifs ont été appliqués le plus rapidement possible.

Plusieurs POC (programmes informatiques permettant d’exploiter ces vulnérabilités) étant disponibles sur Internet en téléchargement, nous savons qu’il y aura rapidement des pics d’attaques. Notre équipe MDR a alors augmenté le niveau de vigilance dans la surveillance des réseaux de nos partenaires et nos chasseurs de cybermenaces (threat Hunter) ont scruté ces réseaux à la recherche de tout mouvement suspect ou signal en lien avec cette vulnérabilité.

Parallèlement, nous avons créé des signatures de détection réseau à partir des POC disponibles, et les avons injectées dans notre technologie de détection de cybermenaces CDS. Les tentatives d’exploitation de PrintNightMare dans les réseaux de nos clients sont désormais détectées et bloquées par notre technologie CDS.

Nous avons aussi créé une signature de détection de type host qui a été injectée dans notre agent de détection locale qui vient en complément de notre technologie CDS. Ceci nous permet de détecter non seulement les attaques à distance mais aussi celles qui ont lieu localement sur les machines.

Les mesures que nous avons prises permettent à notre équipe MDR de réagir rapidement, si d’aventure l’un de nos partenaires subit une telle attaque. Elles permettent aussi à nos clients qui utilisent la technologie CDS de détecter rapidement et bloquer les tentatives d’exploitation de ces vulnérabilités.


Découvrez comment notre CDS et le service MDR peuvent assurer la sécurité de votre réseau

Nous sommes convaincus qu'après avoir vu les résultats de notre surveillance, vous ne voudrez plus laisser votre réseau sans protection. Nous vous proposons donc une évaluation gratuite de 30 jours qui comprend :

  • Une séance d'information
  • Configuration du CDS dans votre réseau
  • Evaluation et preuve de valeur gratuite de 30 jours
  • Rapport d'activité du premier mois et recommandations

Email: demo@streamscan.ai

Phone: 1 877-208-9040