CERTFR-2021-ALE-013

  <strong>\[version mise à jour le 02 juillet 2021 : cette alerte est remplacée par l'alerte CERTFR-2021-ALE-014\] </strong> <strong>La vulnérabilité CVE-2021-1675 est correctement corrigée par le correctif publié par l'éditeur lors du Patch Tuesday de juin 2021. Les codes d'attaque publiés le 29 juin exploitent une autre vulnérabilité du spouleur d'impression. Se référer à [https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014](https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014)</strong>   <strong>\[version mise à jour le 30 juin 2021 à 19h20 : ajout d'informations d'aide à la détection\]</strong> Le 8 juin 2021, Microsoft publiait des correctifs concernant des vulnérabilités critiques de type « jour zéro » (*zero day*). Une de ces vulnérabilités, la CVE-2021-1675, affecte le service spouleur d'impression (*print spooler*), un composant logiciel du système d’exploitation Microsoft Windows activé par défaut. Cette vulnérabilité permettait initialement, selon Microsoft, une escalade de privilèges en local. Son score CVSSv3 s’élevait alors à 7.8. Le 29 juin 2021, deux chercheurs ont présenté une nouvelle façon d’exploiter cette vulnérabilité, cette fois à distance et ce malgré le correctif proposé par Microsoft. La CVE-2021-1675 doit donc être considérée comme une vulnérabilité non corrigée permettant une exécution de code à distance, entraînant une élévation de privilèges avec les droits SYSTEM. Son score CVSSv3 est donc amené à évoluer. <strong>Des codes d'exploitation sont publiquement disponibles sur Internet</strong>, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours. Ces codes exploitent la possibilité offerte par le service spouleur d'impression (*print spooler)* de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Or, par défaut, le service spouleur d'impression (*print spooler)* est activé sur les contrôles de domaine Active Directory. Un attaquant, ayant préalablement compromis un poste utilisateur, pourra *in fine* obtenir les droits et privilèges de l’administrateur de domaine Active Directory. Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande fortement de réaliser les actions suivantes : - modifier immédiatement le type de démarrage vers la valeur "Désactivé" / "Disabled" pour le service "Spooler" (description : "Spouleur d'impression" / "Print Spooler", exécutable : "spoolsv.exe") sur les contrôleurs de domaine, ainsi que sur toute autre machine sur lequel ce service n’est pas nécessaire, particulièrement pour des machines hébergeant des services privilégiés sur l'Active Directory ; - une fois le service désactivé, il est nécessaire d’arrêter manuellement le service ou de redémarrer la machine ; - de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory. ### Informations d'aide à la détection <span class="mx_MTextBody mx_EventTile_content"><span class="mx_EventTile_body" dir="auto">Une première mesure de détection consistera en la surveillance du processus *spoolsv.exe* sur les machines sur lesquelles se processus ne peut pas être désactivé (\*). La création d'un processus enfant qui lui serait rattaché devrait faire l'objet d'une analyse. A cet effet, on peut surveiller ce type d'évènement notamment via l'évènement d'identifiant 1 de l'outil System Monitor (Sysmon) mais également par l'évènement d'identifiant 4688 des journaux de sécurité de Windows.</span></span> Ces éléments seront complétés ultérieurement. (\*) Le CERT-FR recommande fortement de ne <strong>jamais</strong> activer le service spouleur d'impression sur les contrôleurs de domaine.