Numéro : AL21-015 – MISE À JOUR 1
Date : 16 juillet 2021
Mise à jour : 10 août 2021
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
OBJET
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
VUE D’ENSEMBLE
Microsoft a publié un article de la base de connaissances décrivant CVE-2021-34481, une nouvelle vulnérabilité d’élévation de privilèges dans le service de spouleur d’impression de Windows [1]. Cette vulnérabilité n’est pas liée à la vulnérabilité PrintNightmare décrite plus tôt dans l’alerte AL21-011 du Centre pour la cybersécurité.[2]
DÉTAILS
Le 15 juillet 2021, Microsoft a publié un article de la base de connaissances [1] décrivant CVE-2021-34481, une vulnérabilité d’élévation de privilèges locale dans laquelle le service de spouleur d’impression de Windows exécute de manière incorrecte des opérations de fichiers privilégiés. Un auteur de menace qui exploiterait cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Ensuite, l’auteur de menace pourrait installer des programmes; visualiser, modifier ou supprimer des données; ou créer de nouveaux comptes avec des droits d’utilisateurs complets.
Pour exploiter la vulnérabilité, l’auteur de menace doit être en mesure d’exécuter du code dans le système touché.
Comme mentionné dans l’alerte AL21-011 [2] du Centre pour la cybersécurité, le spouler d’impression de Windows a été la source de plusieurs vulnérabilités récemment. La vulnérabilité actuelle est associée au même service, mais elle n’y est pas liée et devrait être corrigée par une mise à jour distincte.
MISE À JOUR 1
Le 10 août 2021, Microsoft a réévalué l’incidence de cette vulnérabilité, la faisant passer d’une élévation locale des privilèges à une exécution de code à distance. Ce changement est survenu après que Microsoft a mené une enquête sur cette vulnérabilité [1].
ATTÉNUATION
À l’heure actuelle, la seule mesure d’atténuation contre la vulnérabilité CVE-2021-34481 est de désactiver le service de spouler d’impression, comme décrit dans l’article de la base de connaissances [1]. Cela désactivera la capacité d’impression.
MISE À JOUR 1
Le 10 août 2021, une mesure d’atténuation de la vulnérabilité CVE-2021-34481 a été diffusée dans les mises à jour de sécurité d’août 2021 [3]. La mise à jour fournie modifie le comportement par défaut de la fonction Pointer et imprimer et fait en sorte que des privilèges administratifs soient nécessaires pour ajouter des pilotes d’impression ou les mettre à jour [4]. Microsoft a publié des conseils à l’intention des organisations qui doivent toujours faire appel à des utilisateurs non administratifs pour installer ou mettre à jour les pilotes d’impression [5]. Il importe de souligner que la mise en œuvre de ces conseils rétablira l’état de vulnérabilité du système.
RÉFÉRENCES
[1] Vulnérabilité d’élévation des privilèges du spouleur d’impression Windows
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481
[2] AL21-011 Vulnérabilité non corrigée liée au spouleur d’impression de Windows
https://cyber.gc.ca/en/alerts/windows-print-spooler-vulnerability-remains-unpatched
[3] AV21-385 Bulletin de sécurité Microsoft – Correctif cumulatif mensuel d’août 2021
https://www.cyber.gc.ca/fr/avis/bulletin-de-securite-microsoft-correctif-cumulatif-mensuel-daout-2021
[4] Point and Print Default Behavior Change
https://msrc-blog.microsoft.com/2021/08/10/point-and-print-default-behavior-change/ (en anglais seulement)
[5] KB5005652—Manage new Point and Print default driver installation behavior (CVE-2021-34481)
https://support.microsoft.com/en-us/topic/kb5005652-manage-new-point-and-print-default-driver-installation-behavior-cve-2021-34481-873642bf-2634-49c5-a23b-6d8e9a302872 (en anglais seulement)
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.