Des chercheurs de Sangfor ont récemment publié par accident une preuve de concept (PoC) d'une faille critique non corrigée dans le service Print Spooler de Microsoft Windows. La vulnérabilité, appelée PrintNightmare, permet aux attaquants d'exécuter du code à distance avec des privilèges au niveau du système. Bien que le PoC ait été rapidement supprimé par Sangfor après la découverte de sa publication, le mal était fait - il était déjà sur GitHub.
Bien que le Spooler d'impression de Windows soit un vieux composant, il est toujours omniprésent. Et comme cet exploit ouvre la porte aux mauvais acteurs pour installer des programmes, modifier des données et créer de nouveaux comptes d'administrateur, vous voudrez peut-être évaluer la réaction de toute tierce partie ayant accès aux systèmes et aux données de votre entreprise.
Prevalent a préparé six questions critiques à poser aux tiers pour déterminer leur exposition et leur réponse à cette faille zero-day. Voir le tableau ci-dessous.
Questions | Réponses potentielles |
---|---|
1) L'organisation a-t-elle déterminé si elle est touchée par la récente vulnérabilité d'exécution de code à distance de Windows Print Spooler ? (Veuillez en choisir un.) |
a) L'organisation a examiné et identifié qu'elle est touchée par la récente vulnérabilité d'exécution de code à distance de Windows Print Spooler. b) L'organisation a examiné et identifié qu'elle n' est pas touchée par la récente vulnérabilité d'exécution de code à distance de Windows Print Spooler. |
2) Entre le 1er et le 7 juillet 2021, des mises à jour de sécurité ont été publiées pour les systèmes Windows Server 2012, Windows Server 2016, Windows 7, Windows 8 et Windows 10. L'organisation a-t-elle appliqué les mises à jour de sécurité nécessaires pour ses systèmes Windows ? (Veuillez en choisir un.) |
a) Oui, l'organisation a téléchargé et appliqué les correctifs. b) Non, l'organisation est incapable d'appliquer des correctifs de sécurité à ses systèmes. c) Non, l'organisation n'a pas encore appliqué de correctifs de sécurité à ses systèmes. |
3) L'organisation continue-t-elle à exécuter le service Print Spooler ? (Veuillez en choisir un.) |
a) Oui, l'organisation a besoin du service Print Spooler pour fonctionner. b) L'organisation exige que le service Print Spooler ne soit pas désactivé. c) Non, le service Print Spooler est désactivé. |
4) Lorsque l'organisation exige le maintien du service Print Spooler, les mesures suivantes ont-elles été prises ? Option 1 : la désactivation du service Spooler d'impression désactive la possibilité d'imprimer en local et à distance. Option 2 : La désactivation de l'impression à distance entrante bloquera le vecteur d'attaque à distance en empêchant les opérations d'impression à distance entrantes. Le système ne fonctionnera plus comme un serveur d'impression, mais l'impression locale sur un périphérique directement connecté sera toujours possible. (Veuillez sélectionner toutes les réponses qui s'appliquent). |
a) La désactivation du service Spooler d'impression a été identifiée comme appropriée pour l'organisation, et les commandes PowerShell pour arrêter le service Spooler et désactiver le démarrage du service Spooler ont été mises en œuvre. b) L'organisation a désactivé l'impression à distance entrante par le biais de la stratégie de groupe. c) L'organisation n'a pas encore désactivé le service Spooler ou l'impression à distance entrante. |
5) Conformément aux directives de Microsoft, les paramètres de registre suivants ont-ils été examinés et mis à jour ? (Veuillez sélectionner toutes les réponses qui s'appliquent). |
a) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint b) NoWarningNoElevationOnInstall = 0 (DWORD) ou non défini (réglage par défaut) c) UpdatePromptSettings = 0 (DWORD) ou non défini (paramètre par défaut) |
6) Conformément aux directives de Microsoft, et si l'organisation s'est identifiée comme étant touchée par la vulnérabilité, la stratégie de groupe de restriction des points d'accès et des impressions a-t-elle été modifiée pour adopter une configuration sécurisée ? (Veuillez sélectionner toutes les réponses qui s'appliquent). |
a) Les paramètres de la politique de groupe des restrictions de pointage et d'impression ont été configurés sur "Activé". b) "Afficher l'avertissement et l'invite d'élévation" a été sélectionné comme invite de sécurité à l'option "lors de l'installation des pilotes pour une nouvelle connexion". c) "Afficher l'avertissement et l'invite d'élévation" a été sélectionné comme invite de sécurité à l'option "lors de la mise à jour des pilotes pour une connexion existante". |
Guide gratuit : 8 étapes pour un plan de réponse aux incidents impliquant des tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Prevalent permet d'identifier et d'atténuer rapidement l'impact de vulnérabilités telles que PrintNightmare en offrant une plateforme permettant de gérer les fournisseurs de manière centralisée, de réaliser des évaluations ciblées en fonction de l'événement, de noter les risques identifiés et d'accéder à des conseils de remédiation. Le service de réponse aux incidents par des tiers est un service géré qui permet à votre équipe de se décharger de la collecte de données de réponse critiques afin qu'elle puisse se concentrer sur l'élimination des risques.
cyber Le service de réponse aux incidents est complété par la solution de surveillance continue des brèches dans les entreprises Prevalent, qui fournit des mises à jour régulières sur les divulgations de brèches, les événements négatifs et les incidents cyber tels que les activités malveillantes sur le dark web concernant vos fournisseurs. Ensemble, ces solutions permettent d'automatiser la découverte des incidents de sécurité et d'accélérer la réponse.
Contactez-nous dès aujourd'hui pour découvrir comment Prevalent peut contribuer à offrir une visibilité sur les contrôles et les processus de sécurité des tiers.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024