Vulnérabilités – la CVE-2021-1675 - affectant le service spouleur d'impression (print spooler)
Voir https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-013/
La meilleure/seule solution reste de stopper le spooleur d'impression comme recommandé par l'ANSSI.
D'après un courriel de Mourad ce 1 juillet sur la liste ASR :
pour le moment, si on regarde de près la méthode d'exploitation, elle est identique dans les chemins utilisés par chaque code d'exploits, tous utilisent le chemin : C:\Windows\System32\spool\drivers\ pour y apporter des modifications. (exemple : https://github.com/cube0x0/CVE-2021-1675/tree/3bad3016aca9a6ebb75e5e687614d1c0d045b1f6 )
Idée : placer de nouvelles sécurités à l'utilisateur "système" au niveau de C:\Windows\System32\spool\drivers soit en lui ôtant les droits contrôle total/modification/écrire, soit en lui rajoutant un Interdire sur modification, ne bloquait pas l'exploit ?
Réponse : ça le bloque bien, ce qui permet de laisser tourner le spooleur d'impression sans risquer l'exploit par un scriptkiddie/lamer, mais, est ce que le BlackHat avancé ne pourra pas écrire ailleurs après quelques modifications ? ...
Par ailleurs, peut-on toujours mettre à jour les drivers d'imprimantes ? Faut-il enlever la sécurité lors des mises à jour de driver puis la remettre ensuite (intérêt d'avoir des règles Enable/Disable).
Pour comprendre exactement le fonctionnement : voici le GitHub initial https://github.com/afwu/PrintNightmare
Une idée pour l'automatisation sur un parc. https://www.lepide.com/how-to/assign-permissions-to-files-folders-through-group-policy.html
Voir aussi CVE-2021-1675 Print Spooler Exploitation https://github.com/SigmaHQ/sigma/pull/1588/checks?check_run_id=2941148191