[MaJ] تنبيه امني متعدد Microsoft Windows

Bycyber التنبيهات الأمنية 2021
0 Comments

 [MaJ] تنبيه امني متعدد Microsoft Windows

 

محتويات التنبيه:
  1. – جدول معلومات
  2. – المخاطر
  3. – الأنظمة المثأثرة
  4. – ملخص حول الثغرة
  5. – الحلول
  6. المصادر
معلومات :
المرجع CERTFR-2021-ALE-014
العنوان [MaJ] Multiples vulnérabilités dans Microsoft Windows
تاريخ الاصدار الأول 02 juillet 2021
تاريخ أخر تحديث 05 janvier 2022 à 13h00
المصادر Bulletin de sécurité Microsoft CVE-2021-34527 du 01 juillet 2021
Bulletin de sécurité Microsoft CVE-2021-34481 du 15 juillet 2021
Bulletin de sécurité Microsoft CVE-2021-36958 du 11 août 2021
المرفقات Aucune(s)
المخاطر:

  • Exécution de code arbitraire à distance
  • Élévation de privilèges

الأنظمة المثأثرة:

  • Windows Server, version 20H2 (Server Core Installation)
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows Server, version 2004 (Server Core installation)
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 2004 for x64-based Systems
  • Windows 10 Version 2004 for ARM64-based Systems
  • Windows 10 Version 2004 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 8.1 for x64-based systems
  • Windows 8.1 for 32-bit systems
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows RT 8.1
ملخص الثغرة:

[version du 12 août 2021]

الحلول من هده الثغرة:

Le 11 août 2021, Microsoft a publié un avis concernant la vulnérabilité CVE-2021-36958 affectant le spouleur d’impression (print spooler). Microsoft indique que cette vulnérabilité permet une exécution de code arbitraire à distance. Le CERT/CC ajoute qu’en se connectant à une imprimante malveillante, l’attaquant peut exécuter du code arbitraire avec les privilèges SYSTEM [8].

المصادر:

  • pour tous les systèmes ne nécessitant pas le service d’impression, en particulier pour les contrôleurs de domaine (le CERT-FR recommande fortement de ne jamais activer le service spouleur d’impression sur les contrôleurs de domaine) :
    • modifier le type de démarrage vers la valeur “Désactivé” / “Disabled” pour le service “Spooler” (description : “Spouleur d’impression” / “Print Spooler”, exécutable : “spoolsv.exe”),
    • une fois le service désactivé, il est nécessaire d’arrêter manuellement le service ou de redémarrer la machine ;
  • appliquer une politique de filtrage réseau afin d’éviter les latéralisations sur les systèmes nécessitant le service d’impression (notamment les postes de travail) : on pourra notamment utiliser le pare-feu intégré pour interdire les connexions entrantes sur les ports 445 et 139 (canaux nommés SMB) ainsi qu’interdire les connexions à destination du processus spoolsv.exe ;
  • [08 juillet 2021 14h30] sur les équipements non corrigés ou qui ne sont pas des serveurs d’impression, désactiver la prise en compte des demandes d’impression distante sur l’ensemble des systèmes, tout en laissant la possibilité de lancer une impression locale. Ce paramètre peut être défini à l’aide d’une Stratégie de Groupe (Group Policy) : le paramètre « Autoriser le spouleur d’impression à accepter les connexions des clients » doit être à l’état « Désactivé »/« Disabled » (« Configuration ordinateur » / «Modèle d’administration » / « Imprimantes ») ;
  • mettre en place une détection système et réseau dans le but de détecter les exploitations sur les équipements vulnérables, les éventuelles latéralisations ainsi que la compromission des contrôles de domaine Active Directory ;
  • suivre les recommandations de sécurisation d’Active Directory [1].

 

Similar Posts

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *