Vulnérabilité du spouleur d'impression de Windows : 6 questions pour évaluer l'exposition d'une tierce partie

Un exploit zero-day de Microsoft permet aux attaquants d'obtenir des privilèges d'administrateur complets. Utilisez ce questionnaire pour évaluer l'exposition potentielle des tiers à la vulnérabilité "PrintNightmare".
Par :
Alastair Parr
,
Vice-président principal, Produits et services mondiaux
20 juillet 2021
Partager :
Blogue : vulnérabilité du spooler d'impression de Windows 0721

Des chercheurs de Sangfor ont récemment publié par accident une preuve de concept (PoC) d'une faille critique non corrigée dans le service Print Spooler de Microsoft Windows. La vulnérabilité, appelée PrintNightmare, permet aux attaquants d'exécuter du code à distance avec des privilèges au niveau du système. Bien que le PoC ait été rapidement supprimé par Sangfor après la découverte de sa publication, le mal était fait - il était déjà sur GitHub.

Bien que le Spooler d'impression de Windows soit un vieux composant, il est toujours omniprésent. Et comme cet exploit ouvre la porte aux mauvais acteurs pour installer des programmes, modifier des données et créer de nouveaux comptes d'administrateur, vous voudrez peut-être évaluer la réaction de toute tierce partie ayant accès aux systèmes et aux données de votre entreprise.

6 questions à poser aux tiers au sujet de la vulnérabilité du spouleur d'impression de Windows

Prevalent a préparé six questions critiques à poser aux tiers pour déterminer leur exposition et leur réponse à cette faille zero-day. Voir le tableau ci-dessous.

Questions Réponses potentielles

1) L'organisation a-t-elle déterminé si elle est touchée par la récente vulnérabilité d'exécution de code à distance de Windows Print Spooler ?

(Veuillez en choisir un.)

a) L'organisation a examiné et identifié qu'elle est touchée par la récente vulnérabilité d'exécution de code à distance de Windows Print Spooler.

b) L'organisation a examiné et identifié qu'elle n' est pas touchée par la récente vulnérabilité d'exécution de code à distance de Windows Print Spooler.

2) Entre le 1er et le 7 juillet 2021, des mises à jour de sécurité ont été publiées pour les systèmes Windows Server 2012, Windows Server 2016, Windows 7, Windows 8 et Windows 10. L'organisation a-t-elle appliqué les mises à jour de sécurité nécessaires pour ses systèmes Windows ?

(Veuillez en choisir un.)

a) Oui, l'organisation a téléchargé et appliqué les correctifs.

b) Non, l'organisation est incapable d'appliquer des correctifs de sécurité à ses systèmes.

c) Non, l'organisation n'a pas encore appliqué de correctifs de sécurité à ses systèmes.

3) L'organisation continue-t-elle à exécuter le service Print Spooler ?

(Veuillez en choisir un.)

a) Oui, l'organisation a besoin du service Print Spooler pour fonctionner.

b) L'organisation exige que le service Print Spooler ne soit pas désactivé.

c) Non, le service Print Spooler est désactivé.

4) Lorsque l'organisation exige le maintien du service Print Spooler, les mesures suivantes ont-elles été prises ?

Option 1 : la désactivation du service Spooler d'impression désactive la possibilité d'imprimer en local et à distance.

Option 2 : La désactivation de l'impression à distance entrante bloquera le vecteur d'attaque à distance en empêchant les opérations d'impression à distance entrantes. Le système ne fonctionnera plus comme un serveur d'impression, mais l'impression locale sur un périphérique directement connecté sera toujours possible.

(Veuillez sélectionner toutes les réponses qui s'appliquent).

a) La désactivation du service Spooler d'impression a été identifiée comme appropriée pour l'organisation, et les commandes PowerShell pour arrêter le service Spooler et désactiver le démarrage du service Spooler ont été mises en œuvre.

b) L'organisation a désactivé l'impression à distance entrante par le biais de la stratégie de groupe.

c) L'organisation n'a pas encore désactivé le service Spooler ou l'impression à distance entrante.

5) Conformément aux directives de Microsoft, les paramètres de registre suivants ont-ils été examinés et mis à jour ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

a) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

b) NoWarningNoElevationOnInstall = 0 (DWORD) ou non défini (réglage par défaut)

c) UpdatePromptSettings = 0 (DWORD) ou non défini (paramètre par défaut)

6) Conformément aux directives de Microsoft, et si l'organisation s'est identifiée comme étant touchée par la vulnérabilité, la stratégie de groupe de restriction des points d'accès et des impressions a-t-elle été modifiée pour adopter une configuration sécurisée ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

a) Les paramètres de la politique de groupe des restrictions de pointage et d'impression ont été configurés sur "Activé".

b) "Afficher l'avertissement et l'invite d'élévation" a été sélectionné comme invite de sécurité à l'option "lors de l'installation des pilotes pour une nouvelle connexion".

c) "Afficher l'avertissement et l'invite d'élévation" a été sélectionné comme invite de sécurité à l'option "lors de la mise à jour des pilotes pour une connexion existante".

Guide gratuit : 8 étapes pour un plan de réponse aux incidents impliquant des tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

Prochaines étapes de la réponse aux incidents et de la surveillance des violations par des tiers

Prevalent permet d'identifier et d'atténuer rapidement l'impact de vulnérabilités telles que PrintNightmare en offrant une plateforme permettant de gérer les fournisseurs de manière centralisée, de réaliser des évaluations ciblées en fonction de l'événement, de noter les risques identifiés et d'accéder à des conseils de remédiation. Le service de réponse aux incidents par des tiers est un service géré qui permet à votre équipe de se décharger de la collecte de données de réponse critiques afin qu'elle puisse se concentrer sur l'élimination des risques.

cyber Le service de réponse aux incidents est complété par la solution de surveillance continue des brèches dans les entreprises Prevalent, qui fournit des mises à jour régulières sur les divulgations de brèches, les événements négatifs et les incidents cyber tels que les activités malveillantes sur le dark web concernant vos fournisseurs. Ensemble, ces solutions permettent d'automatiser la découverte des incidents de sécurité et d'accélérer la réponse.

Contactez-nous dès aujourd'hui pour découvrir comment Prevalent peut contribuer à offrir une visibilité sur les contrôles et les processus de sécurité des tiers.

Tags :
Partager :
Leadership alastair parr
Alastair Parr
Vice-président principal, Produits et services mondiaux

Alastair Parr est chargé de veiller à ce que les exigences du marché soient prises en compte et appliquées de manière innovante au sein du portefeuille Prevalent . Il a rejoint Prevalent après avoir été l'un des fondateurs de 3GRC, où il était responsable de la définition des produits et des services et y a joué un rôle déterminant. Il est issu du monde de la gouvernance, du risque et de la conformité, et a développé et mis en œuvre des solutions dans le domaine toujours plus complexe de la gestion des risques. Il apporte plus de 15 ans d'expérience dans la gestion de produits, le conseil et les livrables opérationnels.

Plus tôt dans sa carrière, il a occupé le poste de directeur des opérations pour un fournisseur mondial de services gérés, InteliSecure, où il était chargé de superviser des programmes efficaces de protection des données et de gestion des risques pour les clients. Alastair est titulaire d'un diplôme universitaire en politique et relations internationales, ainsi que de plusieurs certifications en sécurité de l'information.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo