{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Windows 10 Version 2004 for x64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 21H1 for ARM64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 8.1 for 32-bit systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2019 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server, version 2004 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2019","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012 R2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 7 for 32-bit Systems Service Pack 1","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1909 for 32-bit Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 20H2 for ARM64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 21H1 for x64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2016 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 R2 for x64-based Systems Service Pack 1","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 20H2 for x64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 2004 for 32-bit Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 for 32-bit Systems Service Pack 2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows RT 8.1","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 8.1 for x64-based systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1809 for x64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 20H2 for 32-bit Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 21H1 for 32-bit Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1809 for ARM64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1607 for 32-bit Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 for x64-based Systems Service Pack 2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2016","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1607 for x64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 2004 for ARM64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1809 for 32-bit Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server, version 20H2 (Server Core Installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1909 for ARM64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 for x64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 Version 1909 for x64-based Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012 R2 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 for 32-bit Systems","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 7 for x64-based Systems Service Pack 1","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":"","closed_at":"2022-01-05","content":"## Solution\n\n**<span class=\"mx_MTextBody mx_EventTile_content\"><span\nclass=\"mx_EventTile_body\" dir=\"auto\">\\[05 janvier 2022\\] La\nvuln\u00e9rabilit\u00e9 CVE-2021-36958 a \u00e9t\u00e9 corrig\u00e9e dans le Patch Tuesday de\nseptembre 2021 :\n<a href=\"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-710/\"\nclass=\"linkified\" rel=\"noreferrer nofollow noopener\"\ntarget=\"_blank\">https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-710/.</a></span></span>**\n\n**\\[16 juillet 2021\\] Le CERT-FR actualisera cette alerte lorsqu'un\ncorrectif sera disponible pour la vuln\u00e9rabilit\u00e9 CVE-2021-36958.**\n\n**\\[11 ao\u00fbt 2021\\] Microsoft a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9\nCVE CVE-2021-34481.** Le CERT-FR recommande son installation dans les\nplus brefs d\u00e9lais.\n\n<s>**\\[16 juillet 2021\\] Le CERT-FR actualisera cette alerte lorsqu'un\ncorrectif sera disponible pour la CVE CVE-2021-34481.**</s>\n\n**\\[08 juillet 2021 14h30\\] Le CERT-FR recommande tr\u00e8s fortement\nd'appliquer le correctif sans d\u00e9lai,** m\u00eame si celui-ci semble corriger\nuniquement l'ex\u00e9cution de code arbitraire \u00e0 distance et non l'escalade\nde privil\u00e8ge en local.\n\n**En outre, il est obligatoire de respecter la recommandation de\nl'\u00e9diteur concernant la fonctionnalit\u00e9 \"*Point and Print*\"** en\ns'assurant que, si les cl\u00e9s de registre existent (ce n'est pas le cas\npar d\u00e9faut), celles-ci sont bien d\u00e9finies avec les valeurs suivantes :\n\n-   la cl\u00e9 de registre NoWarningNoElevationOnInstall\n    (HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\n    NT\\\\Printers\\\\PointAndPrint) doit \u00eatre absente ou \u00e9gale \u00e0 0 (DWORD)\n-   la cl\u00e9 de registre NoWarningNoElevationOnUpdate (m\u00eame emplacement)\n    doit \u00eatre absente ou \u00e9gale \u00e0 0 (DWORD)\n\n<s>**\\[06 juillet 2021\\]** L'\u00e9diteur a publi\u00e9 des correctifs pour les\nversions maintenues de son syst\u00e8me d'exploitation, \u00e0 l'exception des\nversions Windows 2012 R2, Windows 2016 et Windows 10 Version 1607 pour\nlesquelles un correctif sera publi\u00e9 ult\u00e9rieurement.</s>\n\n<s>**\\[08 juillet 2021\\]** Des correctifs sont d\u00e9sormais disponibles\npour toutes les versions maintenues de Microsoft Windows.</s>\n\n**Important** : Il convient de noter que les versions qui ne sont plus\nmaintenues, telles que Windows 10 Version 1903, sont affect\u00e9es par la\nvuln\u00e9rabilit\u00e9 mais ne seront pas corrig\u00e9es.\n","cves":[{"name":"CVE-2021-34481","url":"https://www.cve.org/CVERecord?id=CVE-2021-34481"},{"name":"CVE-2021-36958","url":"https://www.cve.org/CVERecord?id=CVE-2021-36958"},{"name":"CVE-2021-34527","url":"https://www.cve.org/CVERecord?id=CVE-2021-34527"},{"name":"CVE-2021-1675","url":"https://www.cve.org/CVERecord?id=CVE-2021-1675"}],"links":[{"title":"[6]","url":"https://github.com/SigmaHQ/sigma/blob/7584471e2ae06d756751ca40556782fe6fd5981d/rules/windows/builtin/win_exploit_cve_2021_1675_printspooler_operational.yml"},{"title":"[5]","url":"https://github.com/SigmaHQ/sigma/blob/b09efee0452e7be7773807d8761a83d7fc54e033/rules/windows/registry_event/sysmon_registry_susp_printer_driver.yml"},{"title":"Avis CERT-FR CERTFR-2021-AVI-506 du 07 juillet 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-506/"},{"title":"[8] Bulletin du CERT/CC VU#131152 du 18 juillet 2021","url":"https://kb.cert.org/vuls/id/131152"},{"title":"[7]","url":"https://support.microsoft.com/en-us/topic/kb5005652-manage-new-point-and-print-default-driver-installation-behavior-cve-2021-34481-873642bf-2634-49c5-a23b-6d8e9a302872"},{"title":"[2] guide Microsoft 365 Defender","url":"https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/tree/master/Exploits/Print%20Spooler%20RCE"},{"title":"[1] Points de contr\u00f4le Active Directory d\u00e9finis par l'ANSSI","url":"https://www.cert.ssi.gouv.fr/dur/CERTFR-2020-DUR-001/"},{"title":"Avis CERT-FR CERTFR-2021-AVI-618 du 11 ao\u00fbt 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-618/"}],"reference":"CERTFR-2021-ALE-014","revisions":[{"description":"Version initiale","revision_date":"2021-07-02T00:00:00.000000"},{"description":"Publication de correctifs pour la plupart des versions de Microsoft Windows","revision_date":"2021-07-07T00:00:00.000000"},{"description":"Ajout de l'avis CERT-FR CERTFR-2021-AVI-506 du 07 juillet 2021.","revision_date":"2021-07-07T00:00:00.000000"},{"description":"Publication de correctifs pour toutes les versions, recommandation \u00e9diteur suppl\u00e9mentaire","revision_date":"2021-07-08T00:00:00.000000"},{"description":"Clarification des recommandations","revision_date":"2021-07-08T00:00:00.000000"},{"description":"correction chemin ImageLoaded:C:WindowsSystem32spooldrivers","revision_date":"2021-07-12T00:00:00.000000"},{"description":"D\u00e9claration d'une nouvelle CVE et compl\u00e9ments d'information sur la d\u00e9tection syst\u00e8me","revision_date":"2021-07-16T00:00:00.000000"},{"description":"Mise \u00e0 jour de l'avis de l'\u00e9diteur avec correctifs.","revision_date":"2021-08-11T00:00:00.000000"},{"description":"Modification du titre, ajout de la vuln\u00e9rabilit\u00e9 CVE-2021-36958","revision_date":"2021-08-12T00:00:00.000000"},{"description":"Mention de la disponibilit\u00e9 du correctif pour la vuln\u00e9rabilit\u00e9 CVE-2021-36958.","revision_date":"2022-01-05T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2022-01-05T00:00:00.000000"}],"risks":[{"description":"\u00c9l\u00e9vation de privil\u00e8ges"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[version du 12 ao\u00fbt 2021\\]</strong>\n\nLe 11 ao\u00fbt 2021, Microsoft a publi\u00e9 un avis concernant la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2021-36958\u00a0affectant le spouleur d\u2019impression (*print\nspooler*). Microsoft indique que cette vuln\u00e9rabilit\u00e9 permet une\nex\u00e9cution de code arbitraire \u00e0 distance. Le CERT/CC ajoute qu'en se\nconnectant \u00e0 une imprimante malveillante, l'attaquant peut ex\u00e9cuter du\ncode arbitraire avec les privil\u00e8ges *SYSTEM* \\[8\\].\n\nAucun correctif n'est disponible pour l'instant. Microsoft conseille\ndonc de d\u00e9sactiver le service.\n\nComme la d\u00e9sactivation compl\u00e8te des impressions est difficilement\nr\u00e9alisable, le CERT-FR renvoie vers les recommandations formul\u00e9es dans\nle paragraphe \\[version initiale\\].\n\n<strong>\\[version du 11 ao\u00fbt\\]</strong>\n\nMicrosoft a publi\u00e9 une mise \u00e0 jour de s\u00e9curit\u00e9\n([KB5005652](https://support.microsoft.com/help/5005652)) corrigeant la\nvuln\u00e9rabilit\u00e9 r\u00e9f\u00e9renc\u00e9e par l'identifiant CVE-2021-34481 \\[7\\]. <strong>Point\nimportant</strong> : Microsoft a r\u00e9cemment pris connaissance d'un <strong>sc\u00e9nario\nd'attaque \u00e0 distance</strong> pour cette vuln\u00e9rabilit\u00e9 dont l'impact initial se\nrestreignait alors seulement \u00e0 une \u00e9l\u00e9vation de privil\u00e8ges locaux.\nAinsi, Microsoft a donc r\u00e9vis\u00e9 son \u00e9valuation en cons\u00e9quence. Le score\nCVSSv3 de cette vuln\u00e9rabilit\u00e9 s'\u00e9l\u00e8ve maintenant \u00e0 8.8. Nous vous\nrecommandons d'installer ces mises \u00e0 jour imm\u00e9diatement.\n\n<strong>\\[version du 16 juillet, 15h30\\]</strong>\n\nLe 6 juillet 2021, Microsoft annon\u00e7ait un correctif pour la\nCVE-2021-34527 afin de prot\u00e9ger les syst\u00e8mes Windows contre une attaque\ndistante. Cependant, le 15 juillet 2021, Microsoft a publi\u00e9 un\nbulletin de s\u00e9curit\u00e9 \\[3\\] qui confirme l'existence d'une vuln\u00e9rabilit\u00e9\n<u>non corrig\u00e9e</u> permettant une \u00e9l\u00e9vation locale des privil\u00e8ges avec\nles privil\u00e8ges SYSTEM. Cette vuln\u00e9rabilit\u00e9 est r\u00e9f\u00e9renc\u00e9e par\nl'identifiant CVE-2021-34481 \\[4\\]. L'attaquant exploite la\nvuln\u00e9rabilit\u00e9 en acc\u00e9dant au syst\u00e8me cible localement. Il peut \u00e9galement\ns'appuyer sur une interaction avec l'utilisateur pour effectuer les\nactions requises afin d'exploiter la vuln\u00e9rabilit\u00e9 (ex. : inciter un\nutilisateur l\u00e9gitime \u00e0 ouvrir un document malveillant).\n\n<strong>Le CERT-FR rappelle que les recommandations ci-dessous sont toujours\nvalables. Par ailleurs, des compl\u00e9ments d'aide \u00e0 la d\u00e9tection ont \u00e9t\u00e9\najout\u00e9s ci-apr\u00e8s.</strong>\n\n\u00a0\n\n\u00a0\n\n<strong>\\[version du 12 juillet, 15h30\\]</strong> Correction d'une erreur dans le nom\ndu chemin \"C:\\\\Windows\\\\System32\\\\spool\\\\drivers\", il s'agit bien de\n\"drivers\" et non pas \"driver\".\n\n<strong>\\[version du 08 juillet 2021 14h30\\]</strong> Le correctif publi\u00e9 par\nMicrosoft ainsi que la s\u00e9curisation de la fonctionnalit\u00e9 \"Point and\nPrint\" (d\u00e9crite ci-dessous) permettent de se pr\u00e9munir contre une\nex\u00e9cution de code arbitraire \u00e0 distance. L'application de ces mesures\npermet d'envisager la r\u00e9activation de l'impression distante sur les\nserveurs d'impression (cf. ci-dessous).\n\n<strong>\\[version du 08 juillet 2021 09h00 : information concernant la\npublication des correctifs, ajout d'une recommandation de l'\u00e9diteur\\]</strong>\nvoir ci-dessous.<strong>  \n</strong>\n\n<strong>\\[version du 07 juillet 2021 10h00 : information concernant la\npublication des correctifs\\]</strong> se r\u00e9f\u00e9rer \u00e0 la section \"Solution\".\n\n\u00a0\n\n<strong>\\[version initiale\\]</strong>\n\n<strong>Cette alerte annule et remplace l\u2019alerte CERT-FR\nCERTFR-2021-ALE-013.</strong>\n\nLe 29 juin 2021, deux chercheurs ont pr\u00e9sent\u00e9 une fa\u00e7on d\u2019exploiter une\nvuln\u00e9rabilit\u00e9 affectant le spouleur d\u2019impression (*print spooler*) et\npermettant une ex\u00e9cution de code \u00e0 distance, entra\u00eenant une \u00e9l\u00e9vation de\nprivil\u00e8ges avec les droits SYSTEM.\n\nLe 1<sup>er</sup> juillet 2021, Microsoft a publi\u00e9 un avis de s\u00e9curit\u00e9 indiquant\nque cette vuln\u00e9rabilit\u00e9 \u00ab\u00a0jour z\u00e9ro\u00a0\u00bb (*zero day*) est diff\u00e9rente de la\nvuln\u00e9rabilit\u00e9 CVE-2021-1675 initialement corrig\u00e9e lors du Patch Tuesday\ndu 09 juin 2021.\n\nCette nouvelle vuln\u00e9rabilit\u00e9, CVE-2021-34527, affecte le spouleur\nd\u2019impression (*print spooler*) qui est un composant du syst\u00e8me\nd\u2019exploitation Windows activ\u00e9 par d\u00e9faut. Elle permet \u00e0 un attaquant\nd\u2019ex\u00e9cuter du code arbitraire \u00e0 distance avec les droits SYSTEM.\n\n<strong>Des codes d'exploitation sont publiquement disponibles sur Internet</strong>,\nce qui signifie que l\u2019exploitation de cette vuln\u00e9rabilit\u00e9 est imminente\nou d\u00e9j\u00e0 en cours.\n\nCes codes exploitent la possibilit\u00e9 offerte par le service\u00a0spouleur\nd'impression de t\u00e9l\u00e9verser un pilote, dans le cadre de l\u2019ajout d\u2019une\nnouvelle imprimante, pour installer un code malveillant. <strong>Ce service\n\u00e9tant activ\u00e9 par d\u00e9faut, tout syst\u00e8me Windows est donc actuellement\nvuln\u00e9rable, avec la possibilit\u00e9 d'une exploitation \u00e0 distance.</strong>\n\nEn particulier, au sein d'un syst\u00e8me d'information Microsoft, les\ncontr\u00f4leurs de domaine Active Directory sont particuli\u00e8rement expos\u00e9s,\npuisqu'un attaquant, ayant pr\u00e9alablement compromis un poste utilisateur,\npourra *in fine* obtenir les droits et privil\u00e8ges de niveau\n\"administrateur de domaine\" Active Directory.\n\n<strong>L\u2019ANSSI recommande fortement de r\u00e9aliser les actions suivantes\u00a0:</strong>\n\n-   pour tous les syst\u00e8mes ne n\u00e9cessitant pas le service d'impression,\n    en particulier pour les contr\u00f4leurs de domaine (le CERT-FR\n    recommande fortement de ne <u>jamais activer</u> le service spouleur\n    d'impression sur les contr\u00f4leurs de domaine) :\n    -   modifier le type de d\u00e9marrage vers la valeur \"D\u00e9sactiv\u00e9\" /\n        \"Disabled\" pour le service \"Spooler\" (description : \"Spouleur\n        d'impression\" / \"Print Spooler\", ex\u00e9cutable : \"spoolsv.exe\"),\n    -   une fois le service d\u00e9sactiv\u00e9, il est n\u00e9cessaire d\u2019arr\u00eater\n        manuellement le service ou de red\u00e9marrer la machine\u00a0;\n-   appliquer une politique de filtrage r\u00e9seau afin d'\u00e9viter les\n    lat\u00e9ralisations sur les syst\u00e8mes n\u00e9cessitant le service d'impression\n    (notamment les postes de travail) : on pourra notamment utiliser le\n    pare-feu int\u00e9gr\u00e9 pour interdire les connexions entrantes sur les\n    ports 445 et 139 (canaux nomm\u00e9s SMB) ainsi qu'interdire les\n    connexions \u00e0 destination du processus spoolsv.exe ;\n-   <strong>\\[08 juillet 2021 14h30\\]</strong> <u>sur les \u00e9quipements non corrig\u00e9s ou\n    qui ne sont pas des serveurs d'impression</u>, d\u00e9sactiver la prise\n    en compte des demandes d\u2019impression distante <s>sur l\u2019ensemble des\n    syst\u00e8mes</s>, tout en laissant la possibilit\u00e9 de lancer une\n    impression locale. Ce param\u00e8tre peut \u00eatre d\u00e9fini \u00e0 l\u2019aide d\u2019une\n    Strat\u00e9gie de Groupe (*Group Policy*)\u00a0: le param\u00e8tre \u00ab\u00a0Autoriser le\n    spouleur d\u2019impression \u00e0 accepter les connexions des clients\u00a0\u00bb doit\n    \u00eatre \u00e0 l\u2019\u00e9tat \u00ab\u00a0D\u00e9sactiv\u00e9\u00a0\u00bb/\u00ab\u00a0Disabled\u00a0\u00bb (\u00ab\u00a0Configuration\n    ordinateur\u00a0\u00bb / \u00abMod\u00e8le d\u2019administration\u00a0\u00bb / \u00ab\u00a0Imprimantes\u00a0\u00bb) ;\n-   mettre en place une d\u00e9tection syst\u00e8me et r\u00e9seau dans le but de\n    d\u00e9tecter les exploitations sur les \u00e9quipements vuln\u00e9rables, les\n    \u00e9ventuelles lat\u00e9ralisations ainsi que la compromission des contr\u00f4les\n    de domaine Active Directory ;\n-   suivre les recommandations de s\u00e9curisation d'Active Directory \\[1\\].\n\n### Informations d'aide \u00e0 la d\u00e9tection syst\u00e8me\n\nUne premi\u00e8re mesure de d\u00e9tection des codes d'exploitation actuels\nconsistera en la surveillance des processus enfant cr\u00e9\u00e9s par le\nprocessus *spoolsv.exe*, les codes d'exploitation utilisant cette\ntechnique pour ex\u00e9cuter un code malveillant. Pour tracer la cr\u00e9ation\nd'un processus fils, on peut regarder les \u00e9v\u00e8nements suivants :\n\n-   l'\u00e9v\u00e8nement num\u00e9ro 4688 du fournisseur\n    \"Microsoft-Windows-Security-Auditing\" enregistr\u00e9 dans le journal de\n    s\u00e9curit\u00e9, si la strat\u00e9gie est configur\u00e9e pour le g\u00e9n\u00e9rer car cet\n    \u00e9v\u00e8nement n'est pas produit par d\u00e9faut ;\n-   l'\u00e9v\u00e8nement num\u00e9ro 1 du fournisseur \"Microsoft-Windows-Sysmon\"\n    enregistr\u00e9 dans le journal sysmon si l'outil System Monitor est\n    install\u00e9.\n\nIl convient de noter que les moyens de d\u00e9tection ci-dessus sont\npertinents dans le cadre de la d\u00e9tection d'une exploitation \u00e0 l'aide des\ncodes publi\u00e9s le 29 juin 2021.\n\nEn compl\u00e9ment, il pourrait \u00eatre utile de tracer\u00a0:\n\n-   l\u2019\u00e9v\u00e8nement num\u00e9ro 11 du fournisseur\n    \"Microsoft-Windows-Security-Mitigations/KernelMode\", qui pourra \u00eatre\n    utilis\u00e9 afin d\u2019identifier le chargement d\u2019une biblioth\u00e8que dynamique\n    (*dll*) non sign\u00e9e (champs SignatureLevel et ImageName) par le\n    processus spoolsv.exe\n    (\u00ab\u00a0ProcessPath:\\*\\\\Windows\\\\System32\\\\spoolsv.exe\u00a0\u00bb).\n-   l\u2019\u00e9v\u00e8nement num\u00e9ro 7 du fournisseur\n    \"Microsoft-Windows-Sysmon/Operational\" avec une configuration\n    appropri\u00e9e de System Monitor pour identifier le chargement de\n    biblioth\u00e8que (*dll*) par le processus spoolsv.exe\n    (\"Image:\\\\C:\\\\Windows\\\\System32\\\\spoolsv.exe\") depuis le r\u00e9pertoire\n    de pilote (champ\n    \"ImageLoaded:C:\\\\Windows\\\\System32\\\\spool\\\\drivers\\\\\\*\") avec le\n    champ \"Signed\" \u00e0 false\n-   <strong>\\[16 juillet 2021\\]</strong> L\u2019\u00e9v\u00e8nement num\u00e9ro 808 du fournisseur\n    \"Microsoft-Windows-PrintService/Admin\" indique qu'une erreur est\n    survenue lors du chargement d'un pilote (le chemin de la dll est\n    mentionn\u00e9 par le champ PluginDllName). Un nom peu commun peut \u00eatre\n    consid\u00e9r\u00e9 comme un marqueur. Note: l'enregistrement de cet \u00e9v\u00e8nement\n    est activ\u00e9 par d\u00e9faut.\n-   <strong>\\[16 juillet 2021\\]</strong> Certaines valeurs non usuelles remont\u00e9es par\n    l\u2019\u00e9v\u00e8nement num\u00e9ro 13 du fournisseur\n    \"Microsoft-Windows-Sysmon/Operational\" peuvent indiquer une\n    exploitation. Par exemple : DriverVersion=0.0.0.0,\n    DriverDate=01/01/1601 ou encore Manufacturer=(Empty). L'installation\n    d'un pilote d'imprimante avec une valeur \"Manufacturer\" vide est une\n    action devant \u00eatre consid\u00e9r\u00e9e comme suspecte. De plus, si les cl\u00e9s\n    \"*Configuration File*\" et \"*Data File*\" contiennent la m\u00eame valeur,\n    cela peut-\u00eatre consid\u00e9r\u00e9 comme une exploitation r\u00e9ussie. Note : la\n    configuration doit \u00eatre modifi\u00e9e pour surveiller les modifications\n    de registre dans\n    *HKLM\\\\System\\\\CurrentControlSet\\\\Control\\\\Print\\\\Environments\\\\Windows\n    x64\\\\Drivers\\\\Version-\\** par spoolsv.exe. Une r\u00e8gle Sigma peut \u00eatre\n    consult\u00e9e en suivant le lien \\[5\\].\n-   <strong>\\[16 juillet 2021\\]</strong> Les codes d'exploitation publiques montrent\n    un caract\u00e8re d\u00e9terministe permettant une mise en d\u00e9tection \u00e0 l'aide\n    de l\u2019\u00e9v\u00e8nement num\u00e9ro 316 du fournisseur\n    \"Microsoft-Windows-PrintService/Operational\". En effet, le champs\n    *Param1* contient le nom du driver (1234, Mimikatz\u2026) et le champs\n    *Param4* les valeurs de *pDriverPath*, *pConfigFile*, *pDataFile*.\n    On s\u2019int\u00e9ressera particuli\u00e8rement \u00e0 une valeur suspecte de\n    *pDataFile* ou de *Param1*. Quand l'exploitation est r\u00e9ussie,\n    *pConfigFile* et *pDataFile* ont la m\u00eame valeur : la DLL\n    malveillante. Note : cet \u00e9v\u00e8nement n'est pas activ\u00e9 par d\u00e9faut, il\n    s'active de la fa\u00e7on suivante : *wevtutil.exe sl\n    \"Microsoft-Windows-PrintService/Operational\" /e:True*. Une r\u00e8gle\n    Sigma peut \u00eatre consult\u00e9e en suivant le lien \\[6\\].\n\nEnfin, l\u2019\u00e9diteur met \u00e0 disposition un ensemble d\u2019informations pour les\nutilisateurs de la solution Microsoft 365 Defender \\[2\\].\n","title":"[MaJ] Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Windows","vendor_advisories":[{"published_at":"2021-07-15","title":"[3] Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-34481","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481"},{"published_at":"2021-08-11","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-36958","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958"},{"published_at":"2021-07-01","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-34527","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527"}]}