Les pirates ont effectué plus de 65 000 attaques via l’exploit du spouleur d’impression de Windows

PrintNightmare
Written by admin

Un certain nombre de vulnérabilités au sein de l’application d’impression ont conduit à une série de cyberattaques dans le monde entier.

Crédit : Adobe

Si vous avez récemment utilisé l’application Print Spooler de Windows, vous pourriez être victime d’un piratage. Un nouveau rapport, de la société de cybersécurité Kaspersky, a révélé que les cybercriminels ont mené environ 65 000 attaques via l’application Windows Print Spooler entre juillet 2021 et avril 2022. De plus, près de la moitié (31 000) des attaques ont eu lieu au cours des quatre premiers trimestres de 2022. Print Spooler est généralement utilisé pour aider les utilisateurs à gérer le processus d’impression, mais en raison de nombreuses vulnérabilités, il est devenu un foyer pour les cybercriminels cherchant à mener des attaques.

Les vulnérabilités de Print Spooler et les nombreuses attaques

Les exploits, CVE-2021-1675 et CVE-2021-34527 (également connu sous le nom de PrintNightmare), ont été trouvés via une source peu commune, car ils ont été publiés par erreur en tant que preuve de concept (POC) sur GitHub pour les vulnérabilités de l’application. Une fois sur GitHub, les utilisateurs ont téléchargé l’exploit POC et un certain nombre de graves lacunes ont été découvertes dans l’application. Le mois dernier, une autre vulnérabilité critique a été découverte, entraînant de nombreuses attaques, car les cybercriminels ont pu accéder aux ressources de l’entreprise, selon Kaspersky.

Une fois les vulnérabilités identifiées, Microsoft a publié un correctif, tentant de stopper les attaques issues de PrintNightmare et de l’exploit récemment découvert, mais certaines organisations victimes n’ont pas réussi à télécharger et à implémenter le correctif avant d’en tirer profit.

VOIR: Politique de sécurité des appareils mobiles (TechRepublic Premium)

« Les vulnérabilités de Windows Print Spooler sont un foyer de nouvelles menaces émergentes », a déclaré Alexey Kulaev, chercheur en sécurité chez Kaspersky. “Nous prévoyons un nombre croissant de tentatives d’exploitation pour accéder aux ressources des réseaux d’entreprise, accompagnées d’un risque élevé d’infection par ransomware et de vol de données. Grâce à certaines de ces vulnérabilités, les attaquants peuvent accéder non seulement aux données des victimes, mais également à l’ensemble du serveur de l’entreprise. Par conséquent, il est fortement recommandé aux utilisateurs de suivre les directives de Microsoft et d’appliquer les dernières mises à jour de sécurité Windows.

Les attaques ont ciblé des utilisateurs d’un certain nombre de pays à travers le monde, car la société de cybersécurité a constaté que de juillet 2021 à avril 2022, près d’un quart des accès détectés provenaient d’Italie. En dehors de l’Italie, les utilisateurs en Turquie et en Corée du Sud ont été les plus activement attaqués, et plus récemment, les chercheurs ont également découvert qu’au cours des quatre derniers mois, les attaquants étaient les plus actifs en Autriche, en France et en Slovénie.

Comment protéger vos systèmes contre l’exploit

Afin que les utilisateurs se protègent d’être les prochaines victimes d’une attaque, Kaspersky propose les conseils suivants :

  • Installez les correctifs pour les nouvelles vulnérabilités dès que possible
  • Effectuer un audit de sécurité régulier de l’infrastructure informatique de l’organisation
  • Utilisez une solution de protection pour les terminaux et les serveurs de messagerie avec des capacités anti-hameçonnage
  • Utilisez des services dédiés qui peuvent aider à lutter contre les attaques de grande envergure
  • Installation de solutions anti-APT et EDR, permettant la découverte et la détection des menaces

S’assurer que toutes les vulnérabilités du système ont été corrigées est recommandé comme la meilleure solution pour l’exploit en question, selon la société de sécurité. En dehors de cette instance spécifique, avoir toujours à jour la sécurité des terminaux et utiliser un modèle de confiance zéro sont les meilleurs moyens d’éviter d’être exploités.

Leave a Comment