Objet: [MaJ] Vulnérabilité dans Microsoft Windows

Risque(s)

• Exécution de code arbitraire à distance
• Élévation de privilèges

Systèmes affectés

• Windows Server, version 20H2 (Server Core Installation)
• Windows Server 2019 (Server Core installation)
• Windows Server 2019
• Windows Server, version 2004 (Server Core installation)
• Windows Server 2016 (Server Core installation)
• Windows Server 2016
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows 10 Version 21H1 for 32-bit Systems
• Windows 10 Version 21H1 for ARM64-based Systems
• Windows 10 Version 21H1 for x64-based Systems
• Windows 10 Version 20H2 for x64-based Systems
• Windows 10 Version 20H2 for ARM64-based Systems
• Windows 10 Version 20H2 for 32-bit Systems
• Windows 10 Version 2004 for x64-based Systems
• Windows 10 Version 2004 for ARM64-based Systems
• Windows 10 Version 2004 for 32-bit Systems
• Windows 10 Version 1909 for ARM64-based Systems
• Windows 10 Version 1909 for x64-based Systems
• Windows 10 Version 1909 for 32-bit Systems
• Windows 10 Version 1809 for ARM64-based Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 for x64-based Systems
• Windows 10 for 32-bit Systems
• Windows 8.1 for x64-based systems
• Windows 8.1 for 32-bit systems
• Windows 7 for x64-based Systems Service Pack 1
• Windows 7 for 32-bit Systems Service Pack 1
• Windows RT 8.1

Résumé

[version mise à jour le 02 juillet 2021 : cette alerte est remplacée par l'alerte CERTFR-2021-ALE-014]

La vulnérabilité CVE-2021-1675 est correctement corrigée par le correctif publié par l'éditeur lors du Patch Tuesday de juin 2021. Les codes d'attaque publiés le 29 juin exploitent une autre vulnérabilité du spouleur d'impression. Se référer à https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014

[version mise à jour le 30 juin 2021 à 19h20 : ajout d'informations d'aide à la détection]

Le 8 juin 2021, Microsoft publiait des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day). Une de ces vulnérabilités, la CVE-2021-1675, affecte le service spouleur d'impression (print spooler), un composant logiciel du système d’exploitation Microsoft Windows activé par défaut. Cette vulnérabilité permettait initialement, selon Microsoft, une escalade de privilèges en local. Son score CVSSv3 s’élevait alors à 7.8.

Le 29 juin 2021, deux chercheurs ont présenté une nouvelle façon d’exploiter cette vulnérabilité, cette fois à distance et ce malgré le correctif proposé par Microsoft. La CVE-2021-1675 doit donc être considérée comme une vulnérabilité non corrigée permettant une exécution de code à distance, entraînant une élévation de privilèges avec les droits SYSTEM. Son score CVSSv3 est donc amené à évoluer.

Des codes d'exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.

Ces codes exploitent la possibilité offerte par le service spouleur d'impression (print spooler) de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Or, par défaut, le service spouleur d'impression (print spooler) est activé sur les contrôles de domaine Active Directory. Un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de l’administrateur de domaine Active Directory.

Au vu de la criticité de cette vulnérabilité, l’ANSSI recommande fortement de réaliser les actions suivantes :

• modifier immédiatement le type de démarrage vers la valeur "Désactivé" / "Disabled" pour le service "Spooler" (description : "Spouleur d'impression" / "Print Spooler", exécutable : "spoolsv.exe") sur les contrôleurs de domaine, ainsi que sur toute autre machine sur lequel ce service n’est pas nécessaire, particulièrement pour des machines hébergeant des services privilégiés sur l'Active Directory ;
• une fois le service désactivé, il est nécessaire d’arrêter manuellement le service ou de redémarrer la machine ;
• de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.

Informations d'aide à la détection

Une première mesure de détection consistera en la surveillance du processus spoolsv.exe sur les machines sur lesquelles se processus ne peut pas être désactivé (*). La création d'un processus enfant qui lui serait rattaché devrait faire l'objet d'une analyse. A cet effet, on peut surveiller ce type d'évènement notamment via l'évènement d'identifiant 1 de l'outil System Monitor (Sysmon) mais également par l'évènement d'identifiant 4688 des journaux de sécurité de Windows.

Ces éléments seront complétés ultérieurement.

(*) Le CERT-FR recommande fortement de ne jamais activer le service spouleur d'impression sur les contrôleurs de domaine.

Solution

A ce jour, le correctif publié par Microsoft le 09 juin 2021 ne protège pas le service spouleur d'impression contre cette méthode d'exploitation.

Cette section sera mise à jour lorsque Microsoft publiera un nouveau correctif.

Documentation

• Avis de sécurité CERT-FR CERTFR-2021-AVI-448 du 09 juin 2021
  https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-448/
• Bulletin de sécurité Microsoft CVE-2021-1675 du 08 juin 2021
  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1675
• Référence CVE CVE-2021-1675
  https://www.cve.org/CVERecord?id=CVE-2021-1675