CVE-2021-1675
CLOSED
KEV
<strong>\[version mise à jour le 02 juillet 2021 : cette alerte est remplacée
par l'alerte CERTFR-2021-ALE-014\]
</strong>
<strong>La vulnérabilité CVE-2021-1675 est correctement corrigée par le
correctif publié par l'éditeur lors du Patch Tuesday de juin 2021. Les
codes d'attaque publiés le 29 juin exploitent une autre vulnérabilité du
spouleur d'impression. Se référer à
[https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014](https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014)</strong>
<strong>\[version mise à jour le 30 juin 2021 à 19h20 : ajout d'informations
d'aide à la détection\]</strong>
Le 8 juin 2021, Microsoft publiait des correctifs concernant des
vulnérabilités critiques de type « jour zéro » (*zero day*). Une de ces
vulnérabilités, la CVE-2021-1675, affecte le service spouleur
d'impression (*print spooler*), un composant logiciel du système
d’exploitation Microsoft Windows activé par défaut. Cette vulnérabilité
permettait initialement, selon Microsoft, une escalade de privilèges en
local. Son score CVSSv3 s’élevait alors à 7.8.
Le 29 juin 2021, deux chercheurs ont présenté une nouvelle façon
d’exploiter cette vulnérabilité, cette fois à distance et ce malgré le
correctif proposé par Microsoft. La CVE-2021-1675 doit donc être
considérée comme une vulnérabilité non corrigée permettant une exécution
de code à distance, entraînant une élévation de privilèges avec les
droits SYSTEM. Son score CVSSv3 est donc amené à évoluer.
<strong>Des codes d'exploitation sont publiquement disponibles sur Internet</strong>,
ce qui signifie que l’exploitation de cette vulnérabilité est imminente
ou déjà en cours.
Ces codes exploitent la possibilité offerte par le service spouleur
d'impression (*print spooler)* de téléverser un pilote, dans le cadre de
l’ajout d’une nouvelle imprimante, pour installer un code malveillant.
Or, par défaut, le service spouleur d'impression (*print spooler)* est
activé sur les contrôles de domaine Active Directory. Un attaquant,
ayant préalablement compromis un poste utilisateur, pourra *in fine*
obtenir les droits et privilèges de l’administrateur de domaine Active
Directory.
Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande
fortement de réaliser les actions suivantes :
- modifier immédiatement le type de démarrage vers la valeur
"Désactivé" / "Disabled" pour le service "Spooler" (description :
"Spouleur d'impression" / "Print Spooler", exécutable :
"spoolsv.exe") sur les contrôleurs de domaine, ainsi que sur toute
autre machine sur lequel ce service n’est pas nécessaire,
particulièrement pour des machines hébergeant des services
privilégiés sur l'Active Directory ;
- une fois le service désactivé, il est nécessaire d’arrêter
manuellement le service ou de redémarrer la machine ;
- de contrôler le système d’information pour détecter d’éventuelles
latéralisations ainsi qu’une compromission des serveurs Active
Directory.
### Informations d'aide à la détection
<span class="mx_MTextBody mx_EventTile_content"><span
class="mx_EventTile_body" dir="auto">Une première mesure de détection
consistera en la surveillance du processus *spoolsv.exe* sur les
machines sur lesquelles se processus ne peut pas être désactivé (\*). La
création d'un processus enfant qui lui serait rattaché devrait faire
l'objet d'une analyse. A cet effet, on peut surveiller ce type
d'évènement notamment via l'évènement d'identifiant 1 de l'outil System
Monitor (Sysmon) mais également par l'évènement d'identifiant 4688 des
journaux de sécurité de Windows.</span></span>
Ces éléments seront complétés ultérieurement.
(\*) Le CERT-FR recommande fortement de ne <strong>jamais</strong> activer le service
spouleur d'impression sur les contrôleurs de domaine.
EPSS 94.31% · 99.9th percentile
