PrintNightmare (CVE-2021-34527)

Aussi appelé: CVE-2021-34527, RCE spoolsv

Vulnérabilité de 2021 dans le service Print Spooler de Windows permettant à un utilisateur peu privilégié d'installer un pilote d'impression malveillant et d'exécuter du code en SYSTEM.

PrintNightmare (CVE-2021-34527 et la connexe CVE-2021-1675) est une faille du service Print Spooler de Windows qui ne validait pas correctement les appels AddPrinterDriverEx. En pointant le spooler vers une DLL malveillante via un partage réseau, un utilisateur du domaine — et à distance, dans certaines configurations, un attaquant non authentifié — pouvait charger cette DLL et exécuter du code arbitraire en SYSTEM, y compris sur des contrôleurs de domaine. Divulguée accidentellement en juillet 2021, elle a été weaponisée rapidement par des opérateurs de ransomwares. Microsoft a publié des correctifs hors cycle et des recommandations de durcissement du registre. Défenses : appliquer tous les correctifs PrintNightmare, désactiver le spooler sur les serveurs qui n'en ont pas besoin (notamment DC), restreindre Point-and-Print aux administrateurs.

Exemples

Groupes de ransomware exploitant PrintNightmare pour passer SYSTEM et déployer leur charge sur des DC.
Opérateurs red-team escaladant d'un utilisateur de domaine standard à admin local via PrintNightmare.

PrintNightmare (CVE-2021-34527)

Exemples

Termes liés

Élévation verticale de privilèges

CVE (Common Vulnerabilities and Exposures)

Exploit

Rançongiciel

Vulnérabilité activement exploitée (KEV)

Active Directory

Définition

Exemples

Termes liés

Élévation verticale de privilèges

CVE (Common Vulnerabilities and Exposures)

Exploit

Rançongiciel

Vulnérabilité activement exploitée (KEV)

Active Directory