Microsoft demande aux utilisateurs de désactiver le spoulage d’imprimante pour se protéger contre l’exploit Zero-Day
Microsoft a publié une série de mesures d'atténuation contre un exploit zero-day que la société de technologie dit, "les attaquants exploitent activement".
L'exploit zero-day, connu sous le nom de PrintNightmare , exploite une vulnérabilité dans le spouleur d'impression Windows et pourrait permettre à un attaquant d'exécuter du code à distance.
Bien qu'il n'y ait pas de correctif spécifique pour PrintNightmare, l'avis de Microsoft contient deux options que les utilisateurs peuvent déployer pour protéger leur système contre l'exploit potentiellement dangereux.
PrintNightmare est le travail d'impression de l'enfer
Le spouleur d'impression est un service logiciel Windows qui gère les processus d'impression de votre système. Lorsque vous appuyez sur Imprimer, le spouleur prend le travail d'impression entrant à partir du logiciel (ou du système d'exploitation) et s'assure que l'imprimante et ses ressources (papier, encre, etc.) sont prêtes à l'action. Lorsque vous envoyez plusieurs travaux d'impression, le spouleur les met en file d'attente et gère la sortie de l'imprimante.
Le service de spouleur d'impression a accès à l'ensemble du système. Bien que cela semble inoffensif, cela peut faire d'un tel service une cible pour les attaquants cherchant à attaquer des ressources avec des privilèges à l'échelle du système.
Dans ce cas, la société de sécurité chinoise Sangfor a accidentellement publié un exploit de preuve de concept pour une attaque zero-day sur sa page GitHub. La société a immédiatement extrait le code, mais pas avant qu'il ne soit bifurqué et copié dans la nature.
PrintNightmare, suivi comme CVE-2021-34527 , est une vulnérabilité d'exécution de code à distance. Cela signifie que si un attaquant exploitait la vulnérabilité, il pourrait théoriquement exécuter du code malveillant sur un système cible. Bien que vous soyez peut-être la cible principale d'un tel exploit, des milliards d'ordinateurs et de serveurs dans le monde utilisent Microsoft Print Spooler, c'est pourquoi PrintNightmare cause de tels problèmes.
Microsoft conseille prudemment de désactiver le service de spouleur d'impression
Jusqu'à ce qu'un correctif spécifique soit trouvé, Microsoft conseille aux utilisateurs, aux entreprises et aux organisations de désactiver le service Spouleur d'impression sur tout serveur qui n'en a pas besoin.
Les organisations peuvent désactiver le service Spouleur d'impression de deux manières : via PowerShell ou via la stratégie de groupe.
PowerShell
- Ouvrez PowerShell .
- Entrée Stop-Service -Spouleur de nom -Force
- Input Set-Service -Name Spooler -StartupType Disabled
Stratégie de groupe
- Ouvrez l' éditeur de stratégie de groupe (gpedit.msc)
- Accédez à Configuration de l'ordinateur / Modèles d'administration / Imprimantes
- Localisez la stratégie Autoriser le spouleur d'impression à accepter les connexions client
- Définir sur Désactiver > Appliquer
Microsoft n'est pas la seule organisation à conseiller aux utilisateurs de désactiver les services de spoulage d'impression dans la mesure du possible. CISA a également publié une déclaration conseillant une politique similaire, encourageant "les administrateurs à désactiver le service de spouleur d'impression Windows dans les contrôleurs de domaine et les systèmes qui n'impriment pas".
Bien que Microsoft réédite cet avis concernant PrintNightmare, la société conseille cette politique à tout moment pour se protéger contre les intrusions inattendues via cette méthode. La désactivation du service Spool d'impression à l'aide d'une stratégie de groupe est le meilleur moyen d'assurer la sécurité à l'échelle du domaine.