Les chercheurs en sécurité de Vectra Threat Labs ont récemment découvert une vulnérabilité critique affectant toutes les versions de Microsoft Windows depuis Windows 95. Cette vulnérabilité permet à un pirate d'exécuter du code au niveau du système, que ce soit sur un réseau local ou sur l'internet. Par conséquent, les attaquants pourraient utiliser cette vulnérabilité pour infecter un utilisateur final à partir de l'internet, puis se propager à travers le réseau interne.
Vectra et Microsoft ont collaboré lors de l'investigation de ce problème, et Microsoft a fourni un correctif dans le cadre du bulletin de sécurité MS16-087, qui est disponible ici.
Les vulnérabilités CVE-2016-3238 (MS16-087) et CVE-2016-3239 proviennent de la manière dont les utilisateurs se connectent aux imprimantes au bureau et sur Internet. Cette vulnérabilité pourrait permettre à un attaquant relativement peu sophistiqué d'incorporer des appareils IoT dans le cadre d'une attaque et de s'infiltrer et se propager rapidement dans un réseau sans être détecté. Ce blog donne un aperçu de la vulnérabilité, mais vous pouvez lire l'analyse technique approfondie ici. En outre, un résumé vidéo de la vulnérabilité est disponible ici.
La vulnérabilité en question est centrée sur la manière dont les utilisateurs du réseau trouvent et utilisent les imprimantes sur un réseau. Il va sans dire que les organisations modernes comptent souvent de nombreux utilisateurs et, de la même manière, de nombreuses marques et modèles d'imprimantes. Les utilisateurs s'attendent à se connecter à l'imprimante qui leur convient le mieux et à l'utiliser. De même, les utilisateurs mobiles s'attendent à pouvoir venir au bureau et imprimer.
Pour servir ces utilisateurs, les organisations ont besoin d'un moyen de fournir les pilotes d'imprimante nécessaires aux utilisateurs qui en ont besoin. Au lieu de fournir tous les pilotes possibles à tous les utilisateurs, de nombreux réseaux utilisent l'approche Microsoft Web Point-and-Print (MS-WPRN) qui permet à un utilisateur de se connecter à n'importe quelle imprimante du réseau et à l'imprimante ou au serveur d'impression de fournir le pilote approprié à la demande. Pour rendre cette opération aussi simple et transparente que possible, ces pilotes sont souvent livrés sans avertissement ni déclenchement du contrôle des comptes utilisateurs (UAC).
Le problème est que ces pilotes sont des pilotes de niveau système et qu'ils sont hébergés sur des imprimantes, qui elles-mêmes ne sont généralement pas bien sécurisées. Si nous mettons tout cela bout à bout, nous avons donc un dispositif faiblement sécurisé qui communique avec presque tous les dispositifs Windows destinés aux utilisateurs finaux, et auquel on fait confiance pour fournir un pilote de niveau système sans vérifications ni avertissements. Si les poils de votre nuque ne commencent pas à se dresser, ils devraient le faire.
Un attaquant local sur le réseau pourrait facilement remplacer le pilote valide par un fichier malveillant. Lorsqu'un nouvel utilisateur tente de se connecter à l'imprimante, le fichier malveillant est transmis et exécuté avec des autorisations au niveau du système, ce qui a pour effet de transférer le contrôle de la machine à l'attaquant. Ce processus peut être répété indéfiniment, infectant chaque nouvel utilisateur qui visite le point d'eau de l'imprimante.
Comment un pirate pourrait-il introduire le fichier malveillant en question sur l'imprimante ? Eh bien, il aurait plusieurs options. Les imprimantes ont souvent de nombreux services activés et ne sont généralement pas patchées de manière fastidieuse, de sorte que trouver une vulnérabilité à exploiter est raisonnablement facile pour un attaquant expérimenté. Cependant, une approche encore plus facile consisterait simplement à essayer les identifiants de connexion par défaut tels que admin/admin, ce qui pourrait permettre à l'attaquant de se connecter directement à l'imprimante. Un pirate pourrait également créer une fausse imprimante qu'il annoncerait sur le réseau.
Jusqu'à présent, vous vous sentez peut-être relativement en sécurité, car tout cela suppose que l'attaquant se trouve déjà sur votre réseau. Cependant, le même mécanisme fonctionne sur l'internet en utilisant le protocole d'impression Microsoft Internet Printing Protocol et web PointNPrint. Cela ouvre la porte à la diffusion d'infections sur l'internet via des vecteurs web normaux tels que des sites web ou des publicités compromis. Un peu de javascript dans une publicité pourrait facilement déclencher une requête vers une "imprimante" distante qui transmettrait alors le pilote malveillant à la victime. En utilisant ces deux approches, un pirate pourrait à la fois infecter un utilisateur de l'extérieur et utiliser sa nouvelle position interne pour se propager latéralement au sein du réseau.
Depuis le 12 juillet 2016, Microsoft a fourni un correctif pour cette vulnérabilité dans le cadre du bulletin de sécurité MS16-087 et il est fortement recommandé aux organisations d'appliquer le correctif dès que possible. Il s'agit également d'un exemple du rôle important que jouent les appareils IoT dans la posture de sécurité du réseau. Ces appareils peuvent être difficiles à patcher, difficiles à surveiller et peuvent rapidement devenir un angle mort persistant pour les opérations de sécurité. C'est une bonne raison de surveiller l'ensemble de votre trafic interne, quel que soit le type d'appareil.