PrintNightmare (CVE-2021-34527)
Qu'est-ce que PrintNightmare (CVE-2021-34527) ?
PrintNightmare (CVE-2021-34527)Vulnérabilité de 2021 dans le service Print Spooler de Windows permettant à un utilisateur peu privilégié d'installer un pilote d'impression malveillant et d'exécuter du code avec les privilèges SYSTEM.
PrintNightmare (CVE-2021-34527) est une faille du service Print Spooler de Windows (spoolsv.exe) qui ne restreignait pas correctement l'accès à l'appel RPC RpcAddPrinterDriverEx(). En pointant le spooler vers une DLL de pilote d'imprimante malveillante hébergée sur un partage SMB/UNC distant, tout utilisateur de domaine authentifié pouvait amener le spooler — qui s'exécute avec les privilèges SYSTEM — à charger et exécuter cette DLL, obtenant à la fois une élévation de privilèges locale et, face à un spooler distant, une exécution de code à distance complète. Comme le Print Spooler s'exécute par défaut sur les contrôleurs de domaine, l'impact sur les environnements Active Directory était sévère.
La divulgation fut chaotique : elle partage le même chemin de code RpcAddPrinterDriverEx que CVE-2021-1675, une LPE « importante » corrigée en juin 2021. Lorsque des chercheurs ont publié un code de preuve de concept fin juin 2021 — pensant qu'il ciblait la CVE-2021-1675 déjà corrigée — ils avaient en réalité déclenché une RCE distincte et non corrigée, que Microsoft a réattribuée sous le nom de CVE-2021-34527. Point crucial : le correctif n'empêchait pas l'exploitation là où Point and Print était configuré avec NoWarningNoElevationOnInstall = 1.
Microsoft a publié des mises à jour hors cycle en juillet 2021 ainsi que des recommandations de durcissement du registre. Défenses : appliquer tous les correctifs liés à PrintNightmare, désactiver le Print Spooler sur les serveurs qui n'impriment pas (en particulier les contrôleurs de domaine), restreindre l'installation des pilotes Point and Print aux administrateurs et bloquer le SMB sortant vers les hôtes non fiables.
flowchart TD
A[Utilisateur de domaine peu privilégié] --> B[Appel RPC vers spoolsv.exe<br/>RpcAddPrinterDriverEx]
B --> C[Le spooler récupère la DLL du pilote<br/>depuis un partage SMB/UNC de l'attaquant]
C --> D{Restrictions<br/>Point and Print ?}
D -->|Sans restriction| E[Le spooler charge la DLL en SYSTEM]
D -->|Administrateurs uniquement| F[Installation bloquée]
E --> G[Exécution de code en SYSTEM]
G --> H[Élévation de privilèges locale]
G --> I[Exécution de code à distance sur<br/>le contrôleur de domaine]● Exemples
- 01
Groupes de ransomware exploitant PrintNightmare pour s'élever en SYSTEM et déployer des charges utiles sur des contrôleurs de domaine.
- 02
Opérateurs red-team utilisant PrintNightmare pour passer d'un utilisateur de domaine standard à administrateur local.
● Questions fréquentes
Qu'est-ce que PrintNightmare (CVE-2021-34527) ?
Vulnérabilité de 2021 dans le service Print Spooler de Windows permettant à un utilisateur peu privilégié d'installer un pilote d'impression malveillant et d'exécuter du code avec les privilèges SYSTEM. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie PrintNightmare (CVE-2021-34527) ?
Vulnérabilité de 2021 dans le service Print Spooler de Windows permettant à un utilisateur peu privilégié d'installer un pilote d'impression malveillant et d'exécuter du code avec les privilèges SYSTEM.
Comment se défendre contre PrintNightmare (CVE-2021-34527) ?
Les défenses contre PrintNightmare (CVE-2021-34527) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de PrintNightmare (CVE-2021-34527) ?
Noms alternatifs courants : CVE-2021-34527, Spoolsv RCE.