CVE-2021-1675 Ă©tait Ă ses dĂ©buts une petite vulnĂ©rabilitĂ© de sĂ©vĂ©ritĂ© modĂ©rĂ©e, affectant le gestionnaire des tĂąches dâimpression de Windows, dont lâexploitation ne pouvait se faire que via un accĂšs local. Microsoft a dâailleurs publiĂ© un correctif dĂ©diĂ© dans son Patch Tuesday. JusquâĂ ce que des chercheurs remarquent que cette faille nâĂ©tait pas si anodine...
Lors du dernier patch Tuesday, on a pu constater que Microsoft corrigeait une vulnĂ©rabilitĂ©, CVE-2021-1675, affectant le Print Spooler de Windows, soit le gestionnaire des tĂąches dâimpression du systĂšme dâexploitation. Rien de critique, la faille permet une Ă©lĂ©vation de privilĂšges pour un attaquant qui aurait un accĂšs local au terminal.
En soi, CVE-2021-1675 nâavait rien dâeffrayant. Et puis Redmond venait de la corriger, nâest-ce pas ? Sauf que des chercheurs en sĂ©curitĂ© publient le jour mĂȘme un exploit de ladite faille, montrant quâelle est autrement plus grave quâannoncĂ© puisquâelle permet une exĂ©cution de code Ă distance entraĂźnant une Ă©lĂ©vation de privilĂšges avec les droits SYSTEM. Et ce quand bien mĂȘme elle est patcheĂ©. Correctifs incomplets sâĂ©crie-t-on bien vite. La faille est alors rebaptisĂ©e : PrintNightmare.
La faille derriĂšre la faille
Sauf que certains y sont allĂ©s un peu vite en besogne. En effet, CVE-2021-1675 Ă©tait bel et bien corrigĂ©, et ne permet quâune exploitation locale. Contrairement Ă CVE-2021-34527, qui Ă©tait cachĂ© juste derriĂšre et a fait hier lâobjet dâune alerte de Microsoft. Câest bien cette seconde vulnĂ©rabilitĂ© que les chercheurs ont exploitĂ©e, et elle est autrement plus critique.
CERT-FR explique que « des codes d'exploitation sont publiquement disponibles sur Internet, ce qui signifie que lâexploitation de cette vulnĂ©rabilitĂ© est imminente ou dĂ©jĂ en cours ». Ce qui est inquiĂ©tant, dâautant que le service concernĂ© est activĂ© par dĂ©faut sur tout systĂšme Windows. Ces codes utilisent la fonction de tĂ©lĂ©versement dâun pilote pour installer du code malveillant, explique le CERT.
« En particulier, au sein d'un systÚme d'information Microsoft, les contrÎleurs de domaine Active Directory sont particuliÚrement exposés, puisqu'un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilÚges de niveau "administrateur de domaine" Active Directory » poursuit-il. Et soudain, la vulnérabilité modérée se change en cauchemar.