FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Windows : la mise à jour de septembre crée des problèmes avec les impressions !

17 septembre 2021 à 07:20

L'histoire se répète : le Patch Tuesday de septembre 2021 crée des problèmes avec les impressions sur certaines machines Windows, suite à l'installation des correctifs de sécurité. Que se passe-t-il ?

Microsoft a publié plusieurs correctifs pour combler des failles de sécurité au sein de Windows 10, mais aussi Windows Server. Parmi ces correctifs il y en a un qui permet de venir à bout définitivement de la faille PrintNightmare et de la faille CVE-2021-36958.

D'après les premiers retours des sysadmins, c'est ce correctif en particulier qui poserait quelques problèmes au niveau des impressions. Pour faire court, les utilisateurs ne peuvent plus imprimer après l'installation de la mise à jour. Ce n'est pas surprenant que ce correctif soit en cause puisqu'il corrige une faille de sécurité au sein du Spouleur d'impression de Windows.

Le site Bleeping Computer a mené son enquête et voici ce qu'il faut retenir :

- Le problème a été constaté pour imprimer à partir d'un serveur d'impression sous Windows Server 2012 R2 et Windows Server 2016. Cela ne veut pas dire que le problème n'existe pas avec Windows Server 2019.

- Suite à l'installation de la mise à jour, les machines Windows 10 ne peuvent plus imprimer sur les imprimantes réseau à partir d'un serveur d'impression.

- L'impression sur une imprimante connectée en USB continue de fonctionner même après l'installation du patch.

- Le problème a été constaté sur des imprimantes HP, Canon, Konica Minolta, SHARP et des imprimantes à étiquettes, que ce soit pour les pilotes de type 3 ou de type 4.

- La seule solution pour le moment serait de désinstaller la mise à jour sur vos machines, en attendant d'avoir une réaction de la part de Microsoft.

En fonction de votre système d'exploitation, voici la KB qui est à l'origine de ce dysfonctionnement :

- Windows Server 2019 : KB5005568
- Windows Server 2012 R2 : KB5005613
- Windows Server 2012 R2 : KB5005627
- Windows Server 2012 : KB5005623
- Windows Server 2012 : KB5005607
- Windows Server 2008 R2 : KB5005615
- Windows Server 2008 : KB5005606
- Windows Server 2008 : KB5005618
- Windows 10 2004, 20H2 et 21H1 : KB5005565
- Windows 10 1909 : KB5005566
- Windows 7 : KB5005615

Avez-vous constaté ce problème de votre côté ?

Mise à jour du 21 septembre 2021 : nous vous recommandons d'explorer cette solution pour corriger le problème sans désinstaller la mise à jour.

Source

The post Windows : la mise à jour de septembre crée des problèmes avec les impressions ! first appeared on IT-Connect.

Microsoft met enfin un terme à PrintNightmare, son cauchemar de l'été

15 septembre 2021 à 13:46

À l'occasion du patch tuesday de septembre, Microsoft a corrigé la dernière vulnérabilité de PrintNightmare. L'exploitation de cette faille permettait de modifier les appareils Windows à distance. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

The post Microsoft met enfin un terme à PrintNightmare, son cauchemar de l’été appeared first on Cyberguerre.

Bulletin d’actualité du CERT-FR – 12/07/2021

Bulletin d’actualité du 12/07/2021 Nous voici de nouveau ensemble dans notre rendez-vous de fin de semaine pour revenir sur les différents bulletins de sécurité publiés par le CERT-FR ! Durant la période du 05 juillet au 11 juillet 2021, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France) a …

Les experts de Kaspersky prévoient une croissance du nombre d’attaques visant la vulnérabilité PrintNightmare

9 juillet 2021 à 10:43
Par : UnderNews

La semaine dernière, des chercheurs ont accidentellement publié l’expérimentation d'un exploit révélant une vulnérabilité critique du Windows Print Spooler, également connue sous le nom de PrintNightmare. Bien que l'exploit ait été rapidement retiré de GitHub, certains utilisateurs ont néanmoins réussi à le télécharger et à le repartager. 

The post Les experts de Kaspersky prévoient une croissance du nombre d’attaques visant la vulnérabilité PrintNightmare first appeared on UnderNews.

PrintNightmare : le correctif de Microsoft serait inefficace !

8 juillet 2021 à 08:07

Le correctif de Microsoft pour se protéger de la faille PrintNightmare aurait-il été publié un peu trop rapidement ? Visiblement oui, car il serait complètement bypassable...

Pour rappel, la vulnérabilité PrintNightmare touche le service Spouleur d'impression de Microsoft, aussi bien sur Windows (Desktop) que sur Windows Server.

Si vous pensiez pouvoir vous débarrasser de cette faille de sécurité grâce à l'installation du correctif de sécurité de Microsoft, c'est raté !

Dans un premier temps, la vulnérabilité semblait exploitable seulement en local (élévation de privilèges) suite à l'installation du patch. Matthew Hickey, un chercheur en sécurité, a testé l'efficacité du correctif publié par Microsoft. Résultat : le correctif protège les machines contre la possibilité d'effectuer une exécution de code à distance, mais il ne semble pas efficace si l'attaquant cherche à effectuer une élévation de privilèges en local.

Sauf qu'ensuite, d'autres PoC ont vu le jour et il serait toujours possible d'exploiter la faille à distance ! En effet, l'expert en sécurité Benjamin Delpy a montré qu'il était possible d'exploiter la vulnérabilité même si la machine était patchée. Un exploit est même disponible au sein de l'outil Mimikatz.

Dealing with strings & filenames is hard😉
New function in #mimikatz 🥝to normalize filenames (bypassing checks by using UNC instead of \\server\share format)

So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

🥝 Benjamin Delpy (@gentilkiwi) July 7, 2021

Pourtant Microsoft continue de croire en son correctif, puisqu'une KB pour Windows Server 2016 a été publiée hier. Pour rappel, voici la liste des KB publiées par Microsoft pour combler la faille PrintNightmare :

- Windows 10 version 21H1 (KB5004945)
- Windows 10 version 20H1 (KB5004945)
- Windows 10 version 2004 (KB5004945)
- Windows 10 version 1909 (KB5004946)
- Windows 10 version 1809 et Windows Server 2019 (KB5004947)
- Windows 10 version 1803 (KB5004949)
- Windows 10 version 1507 (KB5004950)
- Windows 10 version 1607 et Windows Server 2016 (KB5004948)
- Windows 8.1 et Windows Server 2012 R2 (patch mensuel : KB5004954 / mise à jour de sécurité seule : KB5004958)
- Windows 7 SP1 et Windows Server 2008 R2 SP1 (patch mensuel : KB5004953 / mise à jour de sécurité seule : KB5004951)
- Windows Server 2008 SP2 (patch mensuel : KB5004955 / mise à jour de sécurité seule : KB5004959)

En complément de l'installation du patch, Microsoft précise que les clés de registre correspondantes à "Pointer et imprimer" doivent être définies à 0 (ou non définies). Ce qui donne :

  • Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • Valeur : NoWarningNoElevationOnInstall = 0 (DWORD)
  • Valeur : NoWarningNoElevationOnUpdate = 0 (DWORD)

Will Dormann, du CERT/CC, a précisé que même avec ces clés de registre et l'installation du correctif, la faille reste exploitable à distance. Ce qui est sûr, c'est que Will Dormann et Benjamin Delpy semblent sur la même longueur d'onde. Attendons maintenant la réponse de Microsoft.

Puisque le correctif semble inefficace, je vous recommande d'appliquer les recommandations de l'ANSSI, que j'ai également détaillées dans mon article "Windows : comment se protéger de la vulnérabilité PrintNightmare ?". En attendant un nouveau patch de Microsoft ? Surement.

Source

The post PrintNightmare : le correctif de Microsoft serait inefficace ! first appeared on IT-Connect.

Microsoft déploie un patch en urgence pour mettre fin au « PrintNightmare » 

7 juillet 2021 à 11:32

Le 6 juillet, Microsoft a mis en ligne un correctif pour la partie la plus dangereuse de la vulnérabilité PrintNightmare. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

The post Microsoft déploie un patch en urgence pour mettre fin au « PrintNightmare »  appeared first on Cyberguerre.

Vulnérabilité PrintNightmare : le correctif de Microsoft est disponible !

7 juillet 2021 à 07:15

Microsoft vient de publier une mise à jour de sécurité pour protéger vos serveurs et vos machines contre la faille Zero Day nommée PrintNightmare et qui touche le service Spouleur d'impression de Windows.

Alors que certains d'entre vous ont peut-être cherché à appliquer les recommandations de l'ANSSI, que j'ai également détaillées dans mon article "Windows : comment se protéger de la vulnérabilité PrintNightmare ?", Microsoft a publié un correctif à installer directement sur vos machines.

En fonction des systèmes d'exploitation, le numéro de KB n'est pas le même. Voici la liste pour les différentes versions de Windows :

- Windows 10 version 21H1 (KB5004945)
- Windows 10 version 20H1 (KB5004945)
- Windows 10 version 2004 (KB5004945)
- Windows 10 version 1909 (KB5004946)
- Windows 10 version 1809 et Windows Server 2019 (KB5004947)
- Windows 10 version 1803 (KB5004949)
- Windows 10 version 1507 (KB5004950)
- Windows 8.1 et Windows Server 2012 R2 (patch mensuel : KB5004954 / mise à jour de sécurité seule : KB5004958)
- Windows 7 SP1 et Windows Server 2008 R2 SP1 (patch mensuel : KB5004953 / mise à jour de sécurité seule : KB5004951)
- Windows Server 2008 SP2 (patch mensuel : KB5004955 / mise à jour de sécurité seule : KB5004959)

On peut s'étonner de ne pas voir Windows Server 2016 dans la liste de correctifs : Microsoft a précisé que le correctif allait arriver rapidement pour cette version. Ce serait bien, car Windows Server 2016 est très utilisé en entreprise.

Les mises à jour sont dès à présent disponibles dans les canaux habituels : Windows Update, Microsoft Catalog et WSUS.

Malheureusement, ce correctif ne semble pas aussi efficace qu'il en a l'air ! Matthew Hickey, un chercheur en sécurité, a testé l'efficacité du correctif publié par Microsoft. Résultat : le correctif protège les machines contre la possibilité d'effectuer une exécution de code à distance, mais il ne semble pas efficace si l'attaquant cherche à effectuer une élévation de privilèges en local. Malgré l'installation du correctif, il a pu utiliser le PoC de @HackerFantastic.

The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector - however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). 🤦‍♂️https://t.co/PRO3p99CFo

— Hacker Fantastic (@hackerfantastic) July 6, 2021

Dans tous les cas, il est recommandé d'installer le correctif dès à présent. Par ailleurs, pensez à désactiver le Spouleur d'impression sur vos contrôleurs de domaine : c'est une bonne pratique. 😉

Source

The post Vulnérabilité PrintNightmare : le correctif de Microsoft est disponible ! first appeared on IT-Connect.

Windows : comment se protéger de la vulnérabilité PrintNightmare ?

2 juillet 2021 à 17:33

I. Présentation

Dans cet article, je vais vous expliquer comment vous protéger contre la vulnérabilité PrintNightmare, associée à la référence CVE-2021-34527 et qui cible le service "Spouleur d'impression" de Windows. Nous mettrons en place une GPO de protection.

PrintNightmare, c'est le nom de la nouvelle vulnérabilité critique qui touche le service "Spouleur d'impression" de Windows et qui inquiète particulièrement, car elle est activement exploitée. D'ailleurs, elle peut être exploitée à distance et lorsqu'une attaque est menée à bien, elle peut permettre à un attaquant de récupérer les droits SYSTEM sur un contrôleur de domaine.

Dans un premier temps, cette vulnérabilité a été associée à une nouvelle manière d'exploiter la faille CVE-2021-1675, corrigée le 8 juin dernier à l'occasion du Patch Tuesday. Mais in fine, il s'agit bien d'une nouvelle faille de sécurité de type Zero Day (qui a fuité un peu par erreur) et qui a sa propre référence CVE : CVE-2021-34527.

La faille de sécurité PrintNightmare concerne de nombreuses versions de Windows : Windows 7, Windows 8.1 et Windows 10, ainsi que toutes les versions de Windows Server depuis Windows Server 2008, y compris en Server Core (installation sans interface graphique).

L'ANSSI estime qu'il faut prendre cette vulnérabilité très au sérieux, tout comme l'agence américaine CISA (Cybersecurity and Infrastructure Security Agency).

Voici les recommandations à appliquer pour se protéger contre cette vulnérabilité.

II. PrintNightmare : les recommandations pour se protéger

Pour appliquer les recommandations ci-dessous, tenez compte des rôles de vos serveurs (contrôleurs de domaine, serveur d'impression, etc.), mais aussi des postes de travail. En fonction de votre infrastructure et des usages, tout n'est pas forcément applicable sur toutes les machines.

A. Désactiver le service "Spouleur d'impression"

Tout d'abord, il est recommandé de désactiver le service Spouleur d'impression sur les contrôleurs de domaine et sur tous les serveurs où le spouleur d'impression n'est pas utile (ce service gère les interactions entre votre machine et les imprimantes).

Attention : quand ce service est arrêté, il n'est plus possible d'imprimer à partir de l'hôte local. Cela n'est pas gênant sur la majorité des serveurs, mais à l'inverse cela peut être problématique sur les postes de travail.

Pour définir le type de démarrage "Désactivé" sur le service "Spouleur d'impression" ou "Print Spooler" en anglais. Voici la commande PowerShell qui permet d'effectuer cette configuration :

Set-Service -Name Spooler -StartupType Disabled

Une fois que le type de démarrage du service est modifié, il faut arrêter le service. En PowerShell, cela donne :

Stop-Service -Name Spooler

Une autre manière de faire consiste à créer une GPO. Grâce à cette GPO, on va pouvoir désactiver le service et l'arrêter. Parcourez les paramètres de cette façon :

Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Créez une nouvelle configuration de service via un clic droit et configurez-le de cette façon :

Note : pour appliquer cette configuration de service à seulement certains hôtes, vous pouvez utiliser le ciblage avancé sur cet élément via l'onglet "Commun".

Sachez que de manière générale, sans parler de cette faille de sécurité, il est recommandé de désactiver le "Spouleur d'impression" sur les contrôleurs de domaine.

Passons à la seconde recommandation.

B. Bloquer les interactions distantes sur le Spouleur d'impression

Le paramètre "Autoriser le spouleur d'impression à accepter les connexions des clients" doit être désactivé pour bloquer les connexions en question.

Attention : quand ce paramètre est désactivé, les demandes d'impression distantes sont refusées. Concrètement, vous ne pouvez plus partager d'imprimantes sur l'hôte où s'applique cette stratégie. Par contre, il est toujours possible d'imprimer (sauf si le service Spouleur d'impression est arrêté) : ce qui est intéressant pour les postes clients. Il n'y a que le serveur d'impression que ça devrait gêner, finalement.

Toujours dans une GPO, ce paramètre est accessible à cet endroit :

Configuration ordinateur > Stratégies > Modèles d'administration > Imprimantes

C. Configurer le pare-feu Windows

L'ANSSI recommande "d'interdire les connexions entrantes sur les ports 445 et 139 (canaux nommés SMB) ainsi qu'interdire les connexions à destination du processus spoolsv.exe". Là encore, nous pouvons agir par GPO et ces règles sont là pour protéger les postes de travail puisqu'ils ont besoin du service d'impression.

Note : si vous utilisez le pare-feu de votre Endpoint, ce n'est pas utile de configurer le pare-feu de Windows par GPO : modifiez directement la politique de votre solution de sécurité pour créer des règles.

Suivez le chemin suivant :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows Defender avec fonctions avancées de sécurité (x2) > Règles de trafic entrant

Créer une nouvelle règle de trafic entrant via un clic droit : un assistant va démarrer.

Pour le type de règle, on ne va pas s'embêter à créer nos propres règles, car ce que l'on cherche à faire correspond à un modèle prédéfini. Choisissez "Partage de fichiers et d'imprimantes".

Cochez ensuite toutes les règles pour tout bloquer.

Concernant l'action à appliquer, choisissez "Bloquer la connexion". Bien sûr. 😉

Une fois la règle créée, vous obtenez le résultat ci-dessous. Ce qui pourrait vous gêner éventuellement, c'est le blocage du SMB pour l'accès distant aux fichiers des machines. Là encore, testez et surtout adaptez en fonction des rôles de la machine ciblée.

D. Détection d'une attaque sur le système

Lorsqu'une machine est victime de la faille de sécurité PrintNightmare, elle va générer des événements que l'on peut capturer et détecter à l'aide de l'Observateur d'événement de Windows, au sein du journal lié à la sécurité, mais aussi du journal de l'outil System Monitor (s'il est installé). Ces logs peuvent être collectés et analysés dans un outil adapté de type SIEM.

L'ANSSI indique qu'il faut prêter attention à l'événement avec un ID 4688 lorsqu'il est généré par le processus spoolsv.exe (Spouleur d'impression). Ce type d'événement n'est pas généré par défaut, voici comment l'activer.

Pour assurer un suivi des processus dans l'observateur d'événements, il faut activer le paramètre "Auditer le suivi des processus". Il se situe à cet emplacement :

Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit

Ensuite, pour générer les événements avec l'ID 4688, il faut activer le paramètre "Inclure une ligne de commande dans les événements de création de processus" qui se trouve sous :

Configuration ordinateur > Stratégies > Modèles d'administration > Système > Audit de création de processus

Sur les serveurs où l'application des règles de protection n'est pas possible, il est d'autant plus important de mettre en place cette génération des logs et d'en assurer la surveillance.

Quelques mots pour finir...

- Sur les postes de travail et les serveurs (autre que contrôleur de domaine et serveur d'impression), il sera possible dans la majorité des cas de désactiver le paramètre de GPO "Autoriser le spouleur d'impression à accepter les connexions des clients" et de configurer le pare-feu Windows, ce qui permettra de se protéger.

- Sur les contrôleurs de domaine, on pourra désactiver et arrêter le service Spouleur d'impression, et désactiver le paramètre de GPO "Autoriser le spouleur d'impression à accepter les connexions des clients" en complément. Si vous manipulez le pare-feu, attention avec les règles qui bloquent le SMB, vous allez avoir de mauvaises surprises : cela va bloquer l'accès au partage SYSVOL.

- Sur les serveurs d'impression, cela semble difficile d'appliquer ces recommandations sans remettre en cause le bon fonctionnement du service d'impression. Si vous utilisez une solution d'impression tierce avec son propre spouleur, alors ce sera surement une chance, car vous pourrez probablement appliquer une ou plusieurs de ces recommandations. Sinon, il faut mettre les serveurs d'impressions sous surveillance.

J'espère que cet article pourra vous aider à combattre la vulnérabilité PrintNightmare ! Bon courage !

The post Windows : comment se protéger de la vulnérabilité PrintNightmare ? first appeared on IT-Connect.

PrintNightmare : comment la précipitation de chercheurs a armé des cybercriminels

2 juillet 2021 à 14:16

Une course entre chercheurs a mené à la publication d'un tutoriel pour exploiter une faille... qui n'était pas encore corrigée. Cette vulnérabilité nommée PrintNightmare se trouve dans pratiquement toutes les versions de Windows. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

The post PrintNightmare : comment la précipitation de chercheurs a armé des cybercriminels appeared first on Cyberguerre.

PrintNightmare : une faille critique qui touche le service « Spouleur d’impression »

1 juillet 2021 à 08:18

PrintNightmare, c'est le nom de la nouvelle vulnérabilité critique qui touche le service "Spouleur d'impression" de Windows. Exploitable à distance, elle peut permettre à un attaquant de récupérer les droits SYSTEM sur un contrôleur de domaine.

Le 8 juin dernier, à l'occasion de son Patch Tuesday mensuel, Microsoft a déployé un correctif pour combler la faille de sécurité CVE-2021-1675 et qui affectait le spouleur d'impression, un composant présent par défaut sur Windows. Cette vulnérabilité permettait d'effectuer une élévation de privilèges en local sur la machine cible. Elle touche aussi bien Windows 7, Windows 8.1 que Windows 10, ainsi que toutes les versions de Windows Server depuis Windows Server 2008, y compris en Server Core.

Deux chercheurs ont présenté une nouvelle manière d'exploiter cette faille, cette fois-ci à distance, ce qui change la donne ! D'autant plus que cette attaque à distance permet d'obtenir les privilèges SYSTEM sur la machine cible. L'ANSSI estime qu'il faut prendre la faille CVE-2021-1675 très au sérieux, car des codes d'exploitation sont déjà disponibles sur Internet, publiquement. On peut même considérer cette faille comme étant une Zero-Day au sein du spouleur d'impression de Windows.

Lors de l'ajout d'une imprimante, c'est au moment de téléverser le pilote qu'il est possible d'installer le programme malveillant. En fait, à partir d'une machine de votre domaine Active Directory, disons un poste de travail compromis, un attaquant pourrait compromettre votre contrôleur de domaine en exploitant cette vulnérabilité. Quand on sait que l'on peut acheter des identifiants RDP pour quelques dizaines de dollars sur le Darkweb, cela simplifie d'autant plus la première étape.

Vous allez me dire "si j'ai installé le correctif de Microsoft publié le 8 juin, je suis protégé", et bien, malheureusement non. Le correctif proposé par Microsoft ne vous protège pas contre cette nouvelle méthode d'exploitation. Par conséquent, il est recommandé d'effectuer les actions suivantes sur les serveurs contrôleurs de domaine et sur tous les serveurs où le spouleur d'impression n'est pas utile (ce service gère les interactions entre votre machine et les imprimantes) :

  • Définir le type de démarrage "Désactivé" sur le service "Spouleur d'impression" ou "Print Spooler" en anglais. Voici une commande PowerShell qui permet d'effectuer cette configuration :
Set-Service -Name Spooler -StartupType Disabled
  • Une fois que le type de démarrage du service est modifié, il faut arrêter le service. En PowerShell, cela donne :
Stop-Service -Name Spooler

De manière générale, sans parler de cette faille de sécurité, il est recommandé de désactiver le "Spouleur d'impression" sur les contrôleurs de domaine. Sur les serveurs où le service ne peut pas être désactivé, le CERT-FR recommande de mettre le processus "spoolsv.exe" sous surveillance.

Pour atténuer les risques et surveiller vos systèmes, vous pouvez consulter cette page sur GitHub qui regroupe des informations complémentaires. Les actions évoquées ci-dessus peuvent être effectuées par GPO également.

Chers admins système, si vous utilisez des machines sous Windows Server et plus particulièrement des contrôleurs de domaine, vous avez un peu de travail ! Bon courage !

Source

The post PrintNightmare : une faille critique qui touche le service « Spouleur d’impression » first appeared on IT-Connect.
❌