Solution de contournement pour la vulnérabilité d'exécution de code à distance du spouleur d'impression Windows

• Catégorie: Les Fenêtres

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Microsoft divulgué une nouvelle vulnérabilité d'exécution de code à distance dans Windows récemment qui utilise le spouleur d'impression Windows. La vulnérabilité est activement exploitée et Microsoft a publié deux solutions de contournement pour protéger les systèmes contre les attaques.

Les informations fournies sont insuffisantes, car Microsoft ne divulgue même pas les versions de Windows affectées par le problème de sécurité. À première vue, il semble affecter les contrôleurs de domaine pour la plupart et non la majorité des ordinateurs personnels, car il nécessite des utilisateurs authentifiés à distance.

Mettre à jour : Microsoft a publié des mises à jour hors bande pour corriger la vulnérabilité liée à l'impression. Vous trouverez des liens vers les correctifs sur cette page Microsoft . Finir

0Patch , qui ont analysé le correctif, suggèrent que le problème affecte principalement les versions de Windows Server, mais que les systèmes Windows 10 et les serveurs non-DC peuvent également être affectés si des modifications ont été apportées à la configuration par défaut :

UAC (User Account Control) est complètement désactivé
PointAndPrint NoWarningNoElevationOnInstall est activé

Le CVE propose la description suivante :

Il existe une vulnérabilité d'exécution de code à distance lorsque le service Spouleur d'impression Windows exécute de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d'utilisateur complets.

Une attaque doit impliquer un utilisateur authentifié appelant RpcAddPrinterDriverEx().

Veuillez vous assurer que vous avez appliqué les mises à jour de sécurité publiées le 8 juin 2021 et consultez les sections FAQ et Solution de contournement dans ce CVE pour obtenir des informations sur la façon de protéger votre système contre cette vulnérabilité.

Microsoft propose deux suggestions : désactiver le service Spouleur d'impression ou désactiver l'impression distante entrante à l'aide de la stratégie de groupe. La première solution de contournement désactive l'impression, locale et distante, sur l'appareil. Cela peut être une solution sur les systèmes sur lesquels la fonctionnalité d'impression n'est pas requise, mais ce n'est pas vraiment une option si l'impression est effectuée sur un périphérique. Vous pouvez activer le spouleur d'impression à la demande, mais cela peut rapidement devenir une nuisance.

La deuxième solution de contournement nécessite l'accès à la stratégie de groupe, qui n'est disponible que sur les versions Pro et Enterprise de Windows.

Voici les deux solutions de contournement :

Pour désactiver le spouleur d'impression, procédez comme suit :

1. Ouvrez une invite PowerShell élevée, par ex. en utilisant Windows-X et en sélectionnant Windows PowerShell (Admin).
2. Exécutez Get-Service -Name Spooler.
3. Exécuter Stop-Service -Name Spooler -Force
4. Stop-Service -Spouleur de nom -Force
5. Set-Service -Spouleur de noms -StartupType désactivé

La commande (4) arrête le service Spouleur d'impression, la commande (5) le désactive. Notez que vous ne pourrez plus imprimer lorsque vous apporterez les modifications (à moins que vous n'activiez à nouveau le service Spouleur d'impression.

Pour désactiver l'impression distante entrante, procédez comme suit :

1. Ouvrez Démarrer.
2. Tapez gpedit.msc.
3. Chargez l'éditeur de stratégie de groupe.
4. Accédez à Configuration ordinateur / Modèles d'administration / Imprimantes.
5. Double-cliquez sur Autoriser le spouleur d'impression pour accepter les connexions client.
6. Définissez la stratégie sur Désactivé.
7. Sélectionnez d'accord.

0Patch a développé et publié un micropatch qui résout le problème d'exécution du code à distance du spouleur d'impression. Le correctif a été créé pour Windows Server uniquement à l'époque, en particulier Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 et Windows Server 2019.