Le 8 juin 2021, à l’occasion de la publication du Patch Tuesday de Microsoft destiné à corriger les vulnérabilités de type « zero day », le fournisseur de systèmes d’exploitation émettait un correctif destiné à corriger une faille de sécurité qui concerne le Print Spooler, un composant logiciel du système d’exploitation Microsoft Windows activé par défaut. Cette vulnérabilité permettait aux cyberattaquants d’élever leur niveau de privilèges (EoP) au sein d’un système.

De surcroît, le 30 juin dernier, le CERT-Fr publiait une alerte annonçant que le correctif inclus dans le Patch Tuesday était incomplet. En effet, après avoir analysé cette faille de sécurité, des chercheurs ont publié par erreur sur un répertoire Github public une analyse détaillée d’un code d’exploitation pour l’exécution à distance (RCE) du bug – découlant également sur une élévation des privilèges –, ce qui permet aux cybercriminels d’accéder à distance au contrôleur de domaine avec des droits SYSTEM et de compromettre ainsi l’Active Directory, voire de prendre le contrôle d’un système, et ce, malgré le correctif précédemment publié. Selon de nombreux chercheurs, le risque lié à cette faille de sécurité atteint désormais un niveau « critique ».

Dans l’attente de la publication d’un nouveau correctif par Microsoft, Sophos s’est penché sur le sujet et a mis au point des recommandations à destination des utilisateurs Microsoft pour que ceux-ci puissent se prémunir d’une intrusion au sein de leur système :

• En premier lieu, les responsables IT doivent s’assurer que le correctif du Patch Tuesday CVE-2021-1675 a été correctement installé afin d’éviter de s’exposer au risque lié à l’élévation des privilèges (EoP) d’éventuels cyberattaquants. Ils doivent également se tenir à l’affût de la publication d’un nouveau correctif par Microsoft, qui devrait intervenir bientôt, et l’installer dès que possible afin de protéger leur système.
• Afin de contourner cette absence de correctif, il est recommandé de désactiver ou d’éteindre le Print Spooler Microsoft sur l’ensemble des serveurs ou des machines vulnérables sur lesquels il n’est pas nécessaire. Par ailleurs, les chercheurs Sophos conseillent de le maintenir désactivé, même après installation du correctif attendu, afin d’éviter d’élargir la surface d’attaque potentielle.
• Concernant les serveurs où le Print Spooler ne peut pas être désactivé, les chercheurs Sophos recommandent de limiter strictement l’accès afin d’éviter toute intrusion ou prise de contrôle à distance du système.