Numéro : AL21-011 MISE À JOUR 3
Date : 30 juin 2021
Mise à jour : 7 juillet 2021
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
OBJET
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
VUE D’ENSEMBLE
Le 29 juin 2021, une preuve de concept a été publiée pour une vulnérabilité non corrigée dans le spouleur d’impression de Windows, dont le nom familier est PrintNightmare.
DÉTAILS
Le 29 juin 2021, une preuve de concept a été publiée pour une vulnérabilité non corrigée dans le spouleur d’impression de Windows, dont le nom familier est PrintNightmare. Plusieurs autres preuves de concept ont été publiées depuis. Elles ont démontré que l’exploitation de cette vulnérabilité à distance permettrait à un auteur de menace détenant des justificatifs d’identité valides d’exécuter du code avec des privilèges système [1].
La liste complète des produits touchés n’a pas encore été publiée. Toutefois, comme cette vulnérabilité s’apparente à la vulnérabilité CVE-2021-1675 [1][2], le Centre pour la cybersécurité estime qu’elle touchera les mêmes produits, soit :
- Windows Server 2019, 2016, 2012, 2008, 2004 (installation Server Core) et 20H2 (installation Server Core)
- Windows 10, 8.1, RT 8.1, 7
ATTÉNUATION
Pour l’instant, la seule mesure d’atténuation consiste à désactiver le service de spouleur d’impression, ce qui compromettra la fonction d’impression. Consultez les lignes directrices de sécurité de Microsoft avant de désactiver un spouleur d’impression dans un contrôleur de domaine et les systèmes Active Directory [3][4].
MISE À JOUR 1
Le 1er juillet 2021, Microsoft a attribué le numéro CVE-2021-34527 [5] à la vulnérabilité PrintNightmare, puis a mis à jour ses lignes directrices afin de fournir une autre solution de contournement, notamment la désactivation des tâches d’impression à distance entrantes par l’entremise d’une stratégie de groupe. Microsoft a indiqué que la page continuerait d’être mise à jour à mesure que d’autres détails sont connus.
MISE À JOUR 2
Le 6 juillet 2021, Microsoft a publié une mise à jour de sécurité hors bande pour différentes versions de Windows afin de corriger la vulnérabilité CVE-2021-34527 [5]. Veuillez noter que les mises à jour pour Windows 10 (version 1607), Windows Server 2016 et Windows Server 2012 n’ont pas encore été publiées [5].
MISE À JOUR 3
Le 7 juillet 2021, Microsoft a publié une mise à jour de sécurité hors bande pour Windows 10 (version 1607), Windows Server 2016 et Windows Server 2012. Une mise à jour de sécurité pour corriger la vulnérabilité CVE-2021-34527 est maintenant disponible pour toutes les versions touchées de Windows qui ont été mentionnées précédemment. Le Centre pour la cybersécurité recommande aux utilisateurs et aux administrateurs d’appliquer les mises à jour nécessaires et de suivre les conseils de renforcement liés à l’installation de nouveaux pilotes d’impression [6] et de la fonction Pointer et imprimer [5].
RÉFÉRENCES
[1] Rapid7 (PrintNightmare) Patch Does Not Remediate Vulnerability
https://www.rapid7.com/blog/post/2021/06/30/cve-2021-1675-printnightmare-patch-does-not-remediate-vulnerability/ (en anglais seulement)
[2] Vulnérabilité d’exécution de code à distance dans le spouleur d’impression Windows (CVE-2021-1675)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675 (en anglais seulement)
[3] Lignes directrices de Microsoft sur la désactivation des services système dans Windows Server
https://docs.microsoft.com/fr-ca/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server#print-spooler
[4] Évaluation de la sécurité : Contrôleurs de domaine avec le service Spouleur d’impression disponible
https://docs.microsoft.com/fr-ca/defender-for-identity/cas-isp-print-spooler
[5] Vulnérabilité d’exécution de code à distance dans le spouleur d’impression Windows (CVE-2021-34527)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 (en anglais seulement)
[6] KB5005010 : Restricting installation of new printer drivers after applying the July 6, 2021 updates
https://support.microsoft.com/en-us/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7 (en anglais seulement)
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.