Les chercheurs de Sangfor ont récemment publié par inadvertance une preuve de concept (PoC) exploitant une faille critique non corrigée dans le service Microsoft Windows Print Spooler. Cette vulnérabilité, baptisée PrintNightmare, permet aux pirates d'exécuter à distance du code avec des privilèges au niveau du système. Bien que la PoC ait été rapidement supprimée par Sangfor après la découverte de sa publication, le mal était déjà fait : elle était déjà disponible sur GitHub.
Bien que Windows Print Spooler soit un composant ancien, il reste omniprésent. Et comme cette faille permet à des personnes malintentionnées d'installer des programmes, de modifier des données et de créer de nouveaux comptes administrateur, vous devriez évaluer la réponse de tous les tiers ayant accès aux systèmes et aux données de votre entreprise.
6 questions à poser aux tiers concernant la vulnérabilité du spouleur d'impression Windows
Prevalent a préparé six questions essentielles à poser aux tiers afin de déterminer leur exposition et leur réaction face à cette faille zero-day. Voir le tableau ci-dessous.
| Questions | Réponses potentielles |
|---|---|
| 1) L'organisation a-t-elle déterminé si elle était touchée par la récente vulnérabilité d'exécution de code à distance du spouleur d'impression Windows ?
(Veuillez en choisir un.) |
a) L'organisation a examiné la situation et constaté qu'elle était touchée par la récente vulnérabilité d'exécution de code à distance du spouleur d'impression Windows.
b) L'organisation a examiné et déterminé qu'elle n' était pas affectée par la récente vulnérabilité d'exécution de code à distance du spouleur d'impression Windows. |
| 2) Entre le 1er et le 7 juillet 2021, des mises à jour de sécurité ont été publiées pour les systèmes Windows Server 2012, Windows Server 2016, Windows 7, Windows 8 et Windows 10. L'organisation a-t-elle appliqué les mises à jour de sécurité nécessaires à ses systèmes Windows ?
(Veuillez en choisir un.) |
a) Oui, l'organisation a téléchargé et appliqué les correctifs.
b) Non, l'organisation n'est pas en mesure d'appliquer des correctifs de sécurité à ses systèmes. c) Non, l'organisation n'a pas encore appliqué les correctifs de sécurité à ses systèmes. |
| 3) L'organisation continue-t-elle à utiliser le service Spouleur d'impression ?
(Veuillez en choisir un.) |
a) Oui, l'organisation nécessite que le service Spouleur d'impression soit exécuté.
b) L'organisation exige que le service Spouleur d'impression ne soit pas désactivé. c) Non, le service Spouleur d'impression est désactivé. |
| 4) Lorsque l'organisation exige que le service Spouleur d'impression continue de fonctionner, les mesures suivantes ont-elles été prises ?
Option 1 : la désactivation du service Spouleur d'impression désactive la possibilité d'imprimer à la fois localement et à distance. Option 2 : la désactivation de l'impression à distance entrante bloquera le vecteur d'attaque à distance en empêchant les opérations d'impression à distance entrantes. Le système ne fonctionnera plus comme serveur d'impression, mais l'impression locale sur un périphérique directement connecté restera possible. (Veuillez sélectionner toutes les réponses qui s'appliquent.) |
a) La désactivation du service Spouleur d'impression a été jugée appropriée pour l'organisation, et des commandes PowerShell permettant d'arrêter le service Spouleur et de désactiver son démarrage ont été mises en œuvre.
b) L'organisation a désactivé l'impression à distance entrante via la stratégie de groupe. c) L'organisation n'a pas encore désactivé le service Spooler ni l'impression à distance entrante. |
| 5) Conformément aux recommandations de Microsoft, les paramètres de registre suivants ont-ils été vérifiés et mis à jour ?
(Veuillez sélectionner toutes les réponses qui s'appliquent.) |
a) HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersPointAndPrint
b) NoWarningNoElevationOnInstall = 0 (DWORD) ou non défini (paramètre par défaut) c) UpdatePromptSettings = 0 (DWORD) ou non défini (paramètre par défaut) |
| 6) Conformément aux recommandations de Microsoft, et si l'organisation s'est identifiée comme étant affectée par la vulnérabilité, la stratégie de groupe « Point and Print Restrictions » (Restrictions d'impression et de pointage) a-t-elle été modifiée pour adopter une configuration sécurisée ?
(Veuillez sélectionner toutes les réponses qui s'appliquent.) |
a) Les paramètres de stratégie de groupe relatifs aux restrictions de pointage et d'impression ont été configurés sur « Activé ».
b) « Afficher l'avertissement et l'invite d'élévation » a été sélectionné comme invite de sécurité pour l'option « lors de l'installation de pilotes pour une nouvelle connexion ». c) « Afficher l'avertissement et l'invite d'élévation » a été sélectionné comme invite de sécurité pour l'option « lors de la mise à jour des pilotes pour une connexion existante ». Prochaines étapes pour la réponse aux incidents tiers et la surveillance des violations |
Prevalent aide à identifier rapidement et à atténuer l'impact des vulnérabilités telles que PrintNightmare en offrant une plateforme permettant de gérer de manière centralisée les fournisseurs, de mener des évaluations ciblées spécifiques à chaque événement, d'évaluer les risques identifiés et d'accéder à des conseils de remédiation. Le service de réponse aux incidents tiers est un service géré qui permet à votre équipe de se décharger de la collecte des données de réponse critiques afin qu'elle puisse se concentrer sur la remédiation des risques.
Le service de réponse aux incidents est complété par la solution de surveillance continue des cyberattaques et des violations commerciales de Prevalent, qui fournit des mises à jour régulières sur les divulgations de violations, les événements négatifs et les cyberincidents tels que les activités malveillantes sur le dark web concernant vos fournisseurs. Ensemble, ces solutions permettent d'automatiser la détection des incidents de sécurité et d'accélérer la réponse.
Contactez-nous dès aujourd'hui pour découvrir comment Prevalent peut vous aider à améliorer la visibilité sur les contrôles et processus de sécurité tiers.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
