CERTFR-2021-ALE-014
Vulnerability from certfr_alerte

[version du 12 août 2021]

Le 11 août 2021, Microsoft a publié un avis concernant la vulnérabilité CVE-2021-36958 affectant le spouleur d’impression (print spooler). Microsoft indique que cette vulnérabilité permet une exécution de code arbitraire à distance. Le CERT/CC ajoute qu'en se connectant à une imprimante malveillante, l'attaquant peut exécuter du code arbitraire avec les privilèges SYSTEM [8].

Aucun correctif n'est disponible pour l'instant. Microsoft conseille donc de désactiver le service.

Comme la désactivation complète des impressions est difficilement réalisable, le CERT-FR renvoie vers les recommandations formulées dans le paragraphe [version initiale].

[version du 11 août]

Microsoft a publié une mise à jour de sécurité (KB5005652) corrigeant la vulnérabilité référencée par l'identifiant CVE-2021-34481 [7]. Point important : Microsoft a récemment pris connaissance d'un scénario d'attaque à distance pour cette vulnérabilité dont l'impact initial se restreignait alors seulement à une élévation de privilèges locaux. Ainsi, Microsoft a donc révisé son évaluation en conséquence. Le score CVSSv3 de cette vulnérabilité s'élève maintenant à 8.8. Nous vous recommandons d'installer ces mises à jour immédiatement.

[version du 16 juillet, 15h30]

Le 6 juillet 2021, Microsoft annonçait un correctif pour la CVE-2021-34527 afin de protéger les systèmes Windows contre une attaque distante. Cependant, le 15 juillet 2021, Microsoft a publié un bulletin de sécurité [3] qui confirme l'existence d'une vulnérabilité non corrigée permettant une élévation locale des privilèges avec les privilèges SYSTEM. Cette vulnérabilité est référencée par l'identifiant CVE-2021-34481 [4]. L'attaquant exploite la vulnérabilité en accédant au système cible localement. Il peut également s'appuyer sur une interaction avec l'utilisateur pour effectuer les actions requises afin d'exploiter la vulnérabilité (ex. : inciter un utilisateur légitime à ouvrir un document malveillant).

Le CERT-FR rappelle que les recommandations ci-dessous sont toujours valables. Par ailleurs, des compléments d'aide à la détection ont été ajoutés ci-après.

[version du 12 juillet, 15h30] Correction d'une erreur dans le nom du chemin "C:\Windows\System32\spool\drivers", il s'agit bien de "drivers" et non pas "driver".

[version du 08 juillet 2021 14h30] Le correctif publié par Microsoft ainsi que la sécurisation de la fonctionnalité "Point and Print" (décrite ci-dessous) permettent de se prémunir contre une exécution de code arbitraire à distance. L'application de ces mesures permet d'envisager la réactivation de l'impression distante sur les serveurs d'impression (cf. ci-dessous).

[version du 08 juillet 2021 09h00 : information concernant la publication des correctifs, ajout d'une recommandation de l'éditeur] voir ci-dessous.

[version du 07 juillet 2021 10h00 : information concernant la publication des correctifs] se référer à la section "Solution".

[version initiale]

Cette alerte annule et remplace l’alerte CERT-FR CERTFR-2021-ALE-013.

Le 29 juin 2021, deux chercheurs ont présenté une façon d’exploiter une vulnérabilité affectant le spouleur d’impression (print spooler) et permettant une exécution de code à distance, entraînant une élévation de privilèges avec les droits SYSTEM.

Le 1er juillet 2021, Microsoft a publié un avis de sécurité indiquant que cette vulnérabilité « jour zéro » (zero day) est différente de la vulnérabilité CVE-2021-1675 initialement corrigée lors du Patch Tuesday du 09 juin 2021.

Cette nouvelle vulnérabilité, CVE-2021-34527, affecte le spouleur d’impression (print spooler) qui est un composant du système d’exploitation Windows activé par défaut. Elle permet à un attaquant d’exécuter du code arbitraire à distance avec les droits SYSTEM.

Des codes d'exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.

Ces codes exploitent la possibilité offerte par le service spouleur d'impression de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant. Ce service étant activé par défaut, tout système Windows est donc actuellement vulnérable, avec la possibilité d'une exploitation à distance.

En particulier, au sein d'un système d'information Microsoft, les contrôleurs de domaine Active Directory sont particulièrement exposés, puisqu'un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de niveau "administrateur de domaine" Active Directory.

L’ANSSI recommande fortement de réaliser les actions suivantes :

  • pour tous les systèmes ne nécessitant pas le service d'impression, en particulier pour les contrôleurs de domaine (le CERT-FR recommande fortement de ne jamais activer le service spouleur d'impression sur les contrôleurs de domaine) :
    • modifier le type de démarrage vers la valeur "Désactivé" / "Disabled" pour le service "Spooler" (description : "Spouleur d'impression" / "Print Spooler", exécutable : "spoolsv.exe"),
    • une fois le service désactivé, il est nécessaire d’arrêter manuellement le service ou de redémarrer la machine ;
  • appliquer une politique de filtrage réseau afin d'éviter les latéralisations sur les systèmes nécessitant le service d'impression (notamment les postes de travail) : on pourra notamment utiliser le pare-feu intégré pour interdire les connexions entrantes sur les ports 445 et 139 (canaux nommés SMB) ainsi qu'interdire les connexions à destination du processus spoolsv.exe ;
  • [08 juillet 2021 14h30] sur les équipements non corrigés ou qui ne sont pas des serveurs d'impression, désactiver la prise en compte des demandes d’impression distante sur l’ensemble des systèmes, tout en laissant la possibilité de lancer une impression locale. Ce paramètre peut être défini à l’aide d’une Stratégie de Groupe (Group Policy) : le paramètre « Autoriser le spouleur d’impression à accepter les connexions des clients » doit être à l’état « Désactivé »/« Disabled » (« Configuration ordinateur » / «Modèle d’administration » / « Imprimantes ») ;
  • mettre en place une détection système et réseau dans le but de détecter les exploitations sur les équipements vulnérables, les éventuelles latéralisations ainsi que la compromission des contrôles de domaine Active Directory ;
  • suivre les recommandations de sécurisation d'Active Directory [1].

Informations d'aide à la détection système

Une première mesure de détection des codes d'exploitation actuels consistera en la surveillance des processus enfant créés par le processus spoolsv.exe, les codes d'exploitation utilisant cette technique pour exécuter un code malveillant. Pour tracer la création d'un processus fils, on peut regarder les évènements suivants :

  • l'évènement numéro 4688 du fournisseur "Microsoft-Windows-Security-Auditing" enregistré dans le journal de sécurité, si la stratégie est configurée pour le générer car cet évènement n'est pas produit par défaut ;
  • l'évènement numéro 1 du fournisseur "Microsoft-Windows-Sysmon" enregistré dans le journal sysmon si l'outil System Monitor est installé.

Il convient de noter que les moyens de détection ci-dessus sont pertinents dans le cadre de la détection d'une exploitation à l'aide des codes publiés le 29 juin 2021.

En complément, il pourrait être utile de tracer :

  • l’évènement numéro 11 du fournisseur "Microsoft-Windows-Security-Mitigations/KernelMode", qui pourra être utilisé afin d’identifier le chargement d’une bibliothèque dynamique (dll) non signée (champs SignatureLevel et ImageName) par le processus spoolsv.exe (« ProcessPath:*\Windows\System32\spoolsv.exe »).
  • l’évènement numéro 7 du fournisseur "Microsoft-Windows-Sysmon/Operational" avec une configuration appropriée de System Monitor pour identifier le chargement de bibliothèque (dll) par le processus spoolsv.exe ("Image:\C:\Windows\System32\spoolsv.exe") depuis le répertoire de pilote (champ "ImageLoaded:C:\Windows\System32\spool\drivers\*") avec le champ "Signed" à false
  • [16 juillet 2021] L’évènement numéro 808 du fournisseur "Microsoft-Windows-PrintService/Admin" indique qu'une erreur est survenue lors du chargement d'un pilote (le chemin de la dll est mentionné par le champ PluginDllName). Un nom peu commun peut être considéré comme un marqueur. Note: l'enregistrement de cet évènement est activé par défaut.
  • [16 juillet 2021] Certaines valeurs non usuelles remontées par l’évènement numéro 13 du fournisseur "Microsoft-Windows-Sysmon/Operational" peuvent indiquer une exploitation. Par exemple : DriverVersion=0.0.0.0, DriverDate=01/01/1601 ou encore Manufacturer=(Empty). L'installation d'un pilote d'imprimante avec une valeur "Manufacturer" vide est une action devant être considérée comme suspecte. De plus, si les clés "Configuration File" et "Data File" contiennent la même valeur, cela peut-être considéré comme une exploitation réussie. Note : la configuration doit être modifiée pour surveiller les modifications de registre dans HKLM\System\CurrentControlSet\Control\Print\Environments\Windows x64\Drivers\Version-* par spoolsv.exe. Une règle Sigma peut être consultée en suivant le lien [5].
  • [16 juillet 2021] Les codes d'exploitation publiques montrent un caractère déterministe permettant une mise en détection à l'aide de l’évènement numéro 316 du fournisseur "Microsoft-Windows-PrintService/Operational". En effet, le champs Param1 contient le nom du driver (1234, Mimikatz…) et le champs Param4 les valeurs de pDriverPath, pConfigFile, pDataFile. On s’intéressera particulièrement à une valeur suspecte de pDataFile ou de Param1. Quand l'exploitation est réussie, pConfigFile et pDataFile ont la même valeur : la DLL malveillante. Note : cet évènement n'est pas activé par défaut, il s'active de la façon suivante : wevtutil.exe sl "Microsoft-Windows-PrintService/Operational" /e:True. Une règle Sigma peut être consultée en suivant le lien [6].

Enfin, l’éditeur met à disposition un ensemble d’informations pour les utilisateurs de la solution Microsoft 365 Defender [2].

Solution

[05 janvier 2022] La vulnérabilité CVE-2021-36958 a été corrigée dans le Patch Tuesday de septembre 2021 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-710/.

[16 juillet 2021] Le CERT-FR actualisera cette alerte lorsqu'un correctif sera disponible pour la vulnérabilité CVE-2021-36958.

[11 août 2021] Microsoft a publié un correctif pour la vulnérabilité CVE CVE-2021-34481. Le CERT-FR recommande son installation dans les plus brefs délais.

[16 juillet 2021] Le CERT-FR actualisera cette alerte lorsqu'un correctif sera disponible pour la CVE CVE-2021-34481.

[08 juillet 2021 14h30] Le CERT-FR recommande très fortement d'appliquer le correctif sans délai, même si celui-ci semble corriger uniquement l'exécution de code arbitraire à distance et non l'escalade de privilège en local.

En outre, il est obligatoire de respecter la recommandation de l'éditeur concernant la fonctionnalité "Point and Print" en s'assurant que, si les clés de registre existent (ce n'est pas le cas par défaut), celles-ci sont bien définies avec les valeurs suivantes :

  • la clé de registre NoWarningNoElevationOnInstall (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) doit être absente ou égale à 0 (DWORD)
  • la clé de registre NoWarningNoElevationOnUpdate (même emplacement) doit être absente ou égale à 0 (DWORD)

[06 juillet 2021] L'éditeur a publié des correctifs pour les versions maintenues de son système d'exploitation, à l'exception des versions Windows 2012 R2, Windows 2016 et Windows 10 Version 1607 pour lesquelles un correctif sera publié ultérieurement.

[08 juillet 2021] Des correctifs sont désormais disponibles pour toutes les versions maintenues de Microsoft Windows.

Important : Il convient de noter que les versions qui ne sont plus maintenues, telles que Windows 10 Version 1903, sont affectées par la vulnérabilité mais ne seront pas corrigées.

Impacted products
Vendor Product Description
Microsoft Windows Windows Server 2012 R2
Microsoft Windows Windows Server 2016 (Server Core installation)
Microsoft Windows Windows 8.1 for 32-bit systems
Microsoft Windows Windows RT 8.1
Microsoft Windows Windows Server 2016
Microsoft Windows Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows Windows 10 Version 21H1 for 32-bit Systems
Microsoft Windows Windows 10 Version 2004 for x64-based Systems
Microsoft Windows Windows Server, version 20H2 (Server Core Installation)
Microsoft Windows Windows 10 Version 1809 for ARM64-based Systems
Microsoft Windows Windows 10 Version 21H1 for x64-based Systems
Microsoft Windows Windows 10 for x64-based Systems
Microsoft Windows Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Microsoft Windows Windows Server 2008 R2 for x64-based Systems Service Pack 1
Microsoft Windows Windows 10 Version 20H2 for ARM64-based Systems
Microsoft Windows Windows 10 Version 1809 for 32-bit Systems
Microsoft Windows Windows Server 2012
Microsoft Windows Windows 7 for 32-bit Systems Service Pack 1
Microsoft Windows Windows 8.1 for x64-based systems
Microsoft Windows Windows 10 Version 2004 for 32-bit Systems
Microsoft Windows Windows Server 2019 (Server Core installation)
Microsoft Windows Windows Server 2008 for x64-based Systems Service Pack 2
Microsoft Windows Windows Server 2012 R2 (Server Core installation)
Microsoft Windows Windows 10 Version 1607 for x64-based Systems
Microsoft Windows Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Microsoft Windows Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Microsoft Windows Windows Server 2019
Microsoft Windows Windows 10 Version 1909 for 32-bit Systems
Microsoft Windows Windows 10 Version 1909 for x64-based Systems
Microsoft Windows Windows 10 Version 20H2 for x64-based Systems
Microsoft Windows Windows 7 for x64-based Systems Service Pack 1
Microsoft Windows Windows 10 Version 20H2 for 32-bit Systems
Microsoft Windows Windows Server 2008 for 32-bit Systems Service Pack 2
Microsoft Windows Windows 10 Version 2004 for ARM64-based Systems
Microsoft Windows Windows 10 for 32-bit Systems
Microsoft Windows Windows 10 Version 1809 for x64-based Systems
Microsoft Windows Windows 10 Version 1909 for ARM64-based Systems
Microsoft Windows Windows Server, version 2004 (Server Core installation)
Microsoft Windows Windows 10 Version 21H1 for ARM64-based Systems
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows Server 2012 R2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2016 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 8.1 for 32-bit systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows RT 8.1",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2016",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1607 for 32-bit Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 21H1 for 32-bit Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 2004 for x64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server, version 20H2 (Server Core Installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1809 for ARM64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 21H1 for x64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 for x64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 R2 for x64-based Systems Service Pack 1",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 20H2 for ARM64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1809 for 32-bit Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2012",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 7 for 32-bit Systems Service Pack 1",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 8.1 for x64-based systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 2004 for 32-bit Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2019 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 for x64-based Systems Service Pack 2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2012 R2 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1607 for x64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2019",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1909 for 32-bit Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1909 for x64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 20H2 for x64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 7 for x64-based Systems Service Pack 1",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 20H2 for 32-bit Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 for 32-bit Systems Service Pack 2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 2004 for ARM64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 for 32-bit Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1809 for x64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 1909 for ARM64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server, version 2004 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 Version 21H1 for ARM64-based Systems",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2022-01-05",
  "content": "## Solution\n\n**\u003cspan class=\"mx_MTextBody mx_EventTile_content\"\u003e\u003cspan\nclass=\"mx_EventTile_body\" dir=\"auto\"\u003e\\[05 janvier 2022\\] La\nvuln\u00e9rabilit\u00e9 CVE-2021-36958 a \u00e9t\u00e9 corrig\u00e9e dans le Patch Tuesday de\nseptembre 2021 :\n\u003ca href=\"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-710/\"\nclass=\"linkified\" rel=\"noreferrer nofollow noopener\"\ntarget=\"_blank\"\u003ehttps://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-710/.\u003c/a\u003e\u003c/span\u003e\u003c/span\u003e**\n\n**\\[16 juillet 2021\\] Le CERT-FR actualisera cette alerte lorsqu\u0027un\ncorrectif sera disponible pour la vuln\u00e9rabilit\u00e9 CVE-2021-36958.**\n\n**\\[11 ao\u00fbt 2021\\] Microsoft a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9\nCVE CVE-2021-34481.** Le CERT-FR recommande son installation dans les\nplus brefs d\u00e9lais.\n\n\u003cs\u003e**\\[16 juillet 2021\\] Le CERT-FR actualisera cette alerte lorsqu\u0027un\ncorrectif sera disponible pour la CVE CVE-2021-34481.**\u003c/s\u003e\n\n**\\[08 juillet 2021 14h30\\] Le CERT-FR recommande tr\u00e8s fortement\nd\u0027appliquer le correctif sans d\u00e9lai,** m\u00eame si celui-ci semble corriger\nuniquement l\u0027ex\u00e9cution de code arbitraire \u00e0 distance et non l\u0027escalade\nde privil\u00e8ge en local.\n\n**En outre, il est obligatoire de respecter la recommandation de\nl\u0027\u00e9diteur concernant la fonctionnalit\u00e9 \"*Point and Print*\"** en\ns\u0027assurant que, si les cl\u00e9s de registre existent (ce n\u0027est pas le cas\npar d\u00e9faut), celles-ci sont bien d\u00e9finies avec les valeurs suivantes :\n\n-   la cl\u00e9 de registre NoWarningNoElevationOnInstall\n    (HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\n    NT\\\\Printers\\\\PointAndPrint) doit \u00eatre absente ou \u00e9gale \u00e0 0 (DWORD)\n-   la cl\u00e9 de registre NoWarningNoElevationOnUpdate (m\u00eame emplacement)\n    doit \u00eatre absente ou \u00e9gale \u00e0 0 (DWORD)\n\n\u003cs\u003e**\\[06 juillet 2021\\]** L\u0027\u00e9diteur a publi\u00e9 des correctifs pour les\nversions maintenues de son syst\u00e8me d\u0027exploitation, \u00e0 l\u0027exception des\nversions Windows 2012 R2, Windows 2016 et Windows 10 Version 1607 pour\nlesquelles un correctif sera publi\u00e9 ult\u00e9rieurement.\u003c/s\u003e\n\n\u003cs\u003e**\\[08 juillet 2021\\]** Des correctifs sont d\u00e9sormais disponibles\npour toutes les versions maintenues de Microsoft Windows.\u003c/s\u003e\n\n**Important** : Il convient de noter que les versions qui ne sont plus\nmaintenues, telles que Windows 10 Version 1903, sont affect\u00e9es par la\nvuln\u00e9rabilit\u00e9 mais ne seront pas corrig\u00e9es.\n",
  "cves": [
    {
      "name": "CVE-2021-34481",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-34481"
    },
    {
      "name": "CVE-2021-36958",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-36958"
    },
    {
      "name": "CVE-2021-34527",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-34527"
    },
    {
      "name": "CVE-2021-1675",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-1675"
    }
  ],
  "initial_release_date": "2021-07-02T00:00:00",
  "last_revision_date": "2022-01-05T00:00:00",
  "links": [
    {
      "title": "[6]",
      "url": "https://github.com/SigmaHQ/sigma/blob/7584471e2ae06d756751ca40556782fe6fd5981d/rules/windows/builtin/win_exploit_cve_2021_1675_printspooler_operational.yml"
    },
    {
      "title": "[5]",
      "url": "https://github.com/SigmaHQ/sigma/blob/b09efee0452e7be7773807d8761a83d7fc54e033/rules/windows/registry_event/sysmon_registry_susp_printer_driver.yml"
    },
    {
      "title": "Avis CERT-FR CERTFR-2021-AVI-506 du 07 juillet 2021",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-506/"
    },
    {
      "title": "[8] Bulletin du CERT/CC VU#131152 du 18 juillet 2021",
      "url": "https://kb.cert.org/vuls/id/131152"
    },
    {
      "title": "[7]",
      "url": "https://support.microsoft.com/en-us/topic/kb5005652-manage-new-point-and-print-default-driver-installation-behavior-cve-2021-34481-873642bf-2634-49c5-a23b-6d8e9a302872"
    },
    {
      "title": "[2] guide Microsoft 365 Defender",
      "url": "https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/tree/master/Exploits/Print%20Spooler%20RCE"
    },
    {
      "title": "[1] Points de contr\u00f4le Active Directory d\u00e9finis par l\u0027ANSSI",
      "url": "https://www.cert.ssi.gouv.fr/dur/CERTFR-2020-DUR-001/"
    },
    {
      "title": "Avis CERT-FR CERTFR-2021-AVI-618 du 11 ao\u00fbt 2021",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-618/"
    }
  ],
  "reference": "CERTFR-2021-ALE-014",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2021-07-02T00:00:00.000000"
    },
    {
      "description": "Publication de correctifs pour la plupart des versions de Microsoft Windows",
      "revision_date": "2021-07-07T00:00:00.000000"
    },
    {
      "description": "Ajout de l\u0027avis CERT-FR CERTFR-2021-AVI-506 du 07 juillet 2021.",
      "revision_date": "2021-07-07T00:00:00.000000"
    },
    {
      "description": "Publication de correctifs pour toutes les versions, recommandation \u00e9diteur suppl\u00e9mentaire",
      "revision_date": "2021-07-08T00:00:00.000000"
    },
    {
      "description": "Clarification des recommandations",
      "revision_date": "2021-07-08T00:00:00.000000"
    },
    {
      "description": "correction chemin ImageLoaded:C:WindowsSystem32spooldrivers",
      "revision_date": "2021-07-12T00:00:00.000000"
    },
    {
      "description": "D\u00e9claration d\u0027une nouvelle CVE et compl\u00e9ments d\u0027information sur la d\u00e9tection syst\u00e8me",
      "revision_date": "2021-07-16T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour de l\u0027avis de l\u0027\u00e9diteur avec correctifs.",
      "revision_date": "2021-08-11T00:00:00.000000"
    },
    {
      "description": "Modification du titre, ajout de la vuln\u00e9rabilit\u00e9 CVE-2021-36958",
      "revision_date": "2021-08-12T00:00:00.000000"
    },
    {
      "description": "Mention de la disponibilit\u00e9 du correctif pour la vuln\u00e9rabilit\u00e9 CVE-2021-36958.",
      "revision_date": "2022-01-05T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2022-01-05T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[version du 12 ao\u00fbt 2021\\]\u003c/strong\u003e\n\nLe 11 ao\u00fbt 2021, Microsoft a publi\u00e9 un avis concernant la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2021-36958\u00a0affectant le spouleur d\u2019impression (*print\nspooler*). Microsoft indique que cette vuln\u00e9rabilit\u00e9 permet une\nex\u00e9cution de code arbitraire \u00e0 distance. Le CERT/CC ajoute qu\u0027en se\nconnectant \u00e0 une imprimante malveillante, l\u0027attaquant peut ex\u00e9cuter du\ncode arbitraire avec les privil\u00e8ges *SYSTEM* \\[8\\].\n\nAucun correctif n\u0027est disponible pour l\u0027instant. Microsoft conseille\ndonc de d\u00e9sactiver le service.\n\nComme la d\u00e9sactivation compl\u00e8te des impressions est difficilement\nr\u00e9alisable, le CERT-FR renvoie vers les recommandations formul\u00e9es dans\nle paragraphe \\[version initiale\\].\n\n\u003cstrong\u003e\\[version du 11 ao\u00fbt\\]\u003c/strong\u003e\n\nMicrosoft a publi\u00e9 une mise \u00e0 jour de s\u00e9curit\u00e9\n([KB5005652](https://support.microsoft.com/help/5005652)) corrigeant la\nvuln\u00e9rabilit\u00e9 r\u00e9f\u00e9renc\u00e9e par l\u0027identifiant CVE-2021-34481 \\[7\\]. \u003cstrong\u003ePoint\nimportant\u003c/strong\u003e : Microsoft a r\u00e9cemment pris connaissance d\u0027un \u003cstrong\u003esc\u00e9nario\nd\u0027attaque \u00e0 distance\u003c/strong\u003e pour cette vuln\u00e9rabilit\u00e9 dont l\u0027impact initial se\nrestreignait alors seulement \u00e0 une \u00e9l\u00e9vation de privil\u00e8ges locaux.\nAinsi, Microsoft a donc r\u00e9vis\u00e9 son \u00e9valuation en cons\u00e9quence. Le score\nCVSSv3 de cette vuln\u00e9rabilit\u00e9 s\u0027\u00e9l\u00e8ve maintenant \u00e0 8.8. Nous vous\nrecommandons d\u0027installer ces mises \u00e0 jour imm\u00e9diatement.\n\n\u003cstrong\u003e\\[version du 16 juillet, 15h30\\]\u003c/strong\u003e\n\nLe 6 juillet 2021, Microsoft annon\u00e7ait un correctif pour la\nCVE-2021-34527 afin de prot\u00e9ger les syst\u00e8mes Windows contre une attaque\ndistante. Cependant, le 15 juillet 2021, Microsoft a publi\u00e9 un\nbulletin de s\u00e9curit\u00e9 \\[3\\] qui confirme l\u0027existence d\u0027une vuln\u00e9rabilit\u00e9\n\u003cu\u003enon corrig\u00e9e\u003c/u\u003e permettant une \u00e9l\u00e9vation locale des privil\u00e8ges avec\nles privil\u00e8ges SYSTEM. Cette vuln\u00e9rabilit\u00e9 est r\u00e9f\u00e9renc\u00e9e par\nl\u0027identifiant CVE-2021-34481 \\[4\\]. L\u0027attaquant exploite la\nvuln\u00e9rabilit\u00e9 en acc\u00e9dant au syst\u00e8me cible localement. Il peut \u00e9galement\ns\u0027appuyer sur une interaction avec l\u0027utilisateur pour effectuer les\nactions requises afin d\u0027exploiter la vuln\u00e9rabilit\u00e9 (ex. : inciter un\nutilisateur l\u00e9gitime \u00e0 ouvrir un document malveillant).\n\n\u003cstrong\u003eLe CERT-FR rappelle que les recommandations ci-dessous sont toujours\nvalables. Par ailleurs, des compl\u00e9ments d\u0027aide \u00e0 la d\u00e9tection ont \u00e9t\u00e9\najout\u00e9s ci-apr\u00e8s.\u003c/strong\u003e\n\n\u00a0\n\n\u00a0\n\n\u003cstrong\u003e\\[version du 12 juillet, 15h30\\]\u003c/strong\u003e Correction d\u0027une erreur dans le nom\ndu chemin \"C:\\\\Windows\\\\System32\\\\spool\\\\drivers\", il s\u0027agit bien de\n\"drivers\" et non pas \"driver\".\n\n\u003cstrong\u003e\\[version du 08 juillet 2021 14h30\\]\u003c/strong\u003e Le correctif publi\u00e9 par\nMicrosoft ainsi que la s\u00e9curisation de la fonctionnalit\u00e9 \"Point and\nPrint\" (d\u00e9crite ci-dessous) permettent de se pr\u00e9munir contre une\nex\u00e9cution de code arbitraire \u00e0 distance. L\u0027application de ces mesures\npermet d\u0027envisager la r\u00e9activation de l\u0027impression distante sur les\nserveurs d\u0027impression (cf. ci-dessous).\n\n\u003cstrong\u003e\\[version du 08 juillet 2021 09h00 : information concernant la\npublication des correctifs, ajout d\u0027une recommandation de l\u0027\u00e9diteur\\]\u003c/strong\u003e\nvoir ci-dessous.\u003cstrong\u003e  \n\u003c/strong\u003e\n\n\u003cstrong\u003e\\[version du 07 juillet 2021 10h00 : information concernant la\npublication des correctifs\\]\u003c/strong\u003e se r\u00e9f\u00e9rer \u00e0 la section \"Solution\".\n\n\u00a0\n\n\u003cstrong\u003e\\[version initiale\\]\u003c/strong\u003e\n\n\u003cstrong\u003eCette alerte annule et remplace l\u2019alerte CERT-FR\nCERTFR-2021-ALE-013.\u003c/strong\u003e\n\nLe 29 juin 2021, deux chercheurs ont pr\u00e9sent\u00e9 une fa\u00e7on d\u2019exploiter une\nvuln\u00e9rabilit\u00e9 affectant le spouleur d\u2019impression (*print spooler*) et\npermettant une ex\u00e9cution de code \u00e0 distance, entra\u00eenant une \u00e9l\u00e9vation de\nprivil\u00e8ges avec les droits SYSTEM.\n\nLe 1\u003csup\u003eer\u003c/sup\u003e juillet 2021, Microsoft a publi\u00e9 un avis de s\u00e9curit\u00e9 indiquant\nque cette vuln\u00e9rabilit\u00e9 \u00ab\u00a0jour z\u00e9ro\u00a0\u00bb (*zero day*) est diff\u00e9rente de la\nvuln\u00e9rabilit\u00e9 CVE-2021-1675 initialement corrig\u00e9e lors du Patch Tuesday\ndu 09 juin 2021.\n\nCette nouvelle vuln\u00e9rabilit\u00e9, CVE-2021-34527, affecte le spouleur\nd\u2019impression (*print spooler*) qui est un composant du syst\u00e8me\nd\u2019exploitation Windows activ\u00e9 par d\u00e9faut. Elle permet \u00e0 un attaquant\nd\u2019ex\u00e9cuter du code arbitraire \u00e0 distance avec les droits SYSTEM.\n\n\u003cstrong\u003eDes codes d\u0027exploitation sont publiquement disponibles sur Internet\u003c/strong\u003e,\nce qui signifie que l\u2019exploitation de cette vuln\u00e9rabilit\u00e9 est imminente\nou d\u00e9j\u00e0 en cours.\n\nCes codes exploitent la possibilit\u00e9 offerte par le service\u00a0spouleur\nd\u0027impression de t\u00e9l\u00e9verser un pilote, dans le cadre de l\u2019ajout d\u2019une\nnouvelle imprimante, pour installer un code malveillant. \u003cstrong\u003eCe service\n\u00e9tant activ\u00e9 par d\u00e9faut, tout syst\u00e8me Windows est donc actuellement\nvuln\u00e9rable, avec la possibilit\u00e9 d\u0027une exploitation \u00e0 distance.\u003c/strong\u003e\n\nEn particulier, au sein d\u0027un syst\u00e8me d\u0027information Microsoft, les\ncontr\u00f4leurs de domaine Active Directory sont particuli\u00e8rement expos\u00e9s,\npuisqu\u0027un attaquant, ayant pr\u00e9alablement compromis un poste utilisateur,\npourra *in fine* obtenir les droits et privil\u00e8ges de niveau\n\"administrateur de domaine\" Active Directory.\n\n\u003cstrong\u003eL\u2019ANSSI recommande fortement de r\u00e9aliser les actions suivantes\u00a0:\u003c/strong\u003e\n\n-   pour tous les syst\u00e8mes ne n\u00e9cessitant pas le service d\u0027impression,\n    en particulier pour les contr\u00f4leurs de domaine (le CERT-FR\n    recommande fortement de ne \u003cu\u003ejamais activer\u003c/u\u003e le service spouleur\n    d\u0027impression sur les contr\u00f4leurs de domaine) :\n    -   modifier le type de d\u00e9marrage vers la valeur \"D\u00e9sactiv\u00e9\" /\n        \"Disabled\" pour le service \"Spooler\" (description : \"Spouleur\n        d\u0027impression\" / \"Print Spooler\", ex\u00e9cutable : \"spoolsv.exe\"),\n    -   une fois le service d\u00e9sactiv\u00e9, il est n\u00e9cessaire d\u2019arr\u00eater\n        manuellement le service ou de red\u00e9marrer la machine\u00a0;\n-   appliquer une politique de filtrage r\u00e9seau afin d\u0027\u00e9viter les\n    lat\u00e9ralisations sur les syst\u00e8mes n\u00e9cessitant le service d\u0027impression\n    (notamment les postes de travail) : on pourra notamment utiliser le\n    pare-feu int\u00e9gr\u00e9 pour interdire les connexions entrantes sur les\n    ports 445 et 139 (canaux nomm\u00e9s SMB) ainsi qu\u0027interdire les\n    connexions \u00e0 destination du processus spoolsv.exe ;\n-   \u003cstrong\u003e\\[08 juillet 2021 14h30\\]\u003c/strong\u003e \u003cu\u003esur les \u00e9quipements non corrig\u00e9s ou\n    qui ne sont pas des serveurs d\u0027impression\u003c/u\u003e, d\u00e9sactiver la prise\n    en compte des demandes d\u2019impression distante \u003cs\u003esur l\u2019ensemble des\n    syst\u00e8mes\u003c/s\u003e, tout en laissant la possibilit\u00e9 de lancer une\n    impression locale. Ce param\u00e8tre peut \u00eatre d\u00e9fini \u00e0 l\u2019aide d\u2019une\n    Strat\u00e9gie de Groupe (*Group Policy*)\u00a0: le param\u00e8tre \u00ab\u00a0Autoriser le\n    spouleur d\u2019impression \u00e0 accepter les connexions des clients\u00a0\u00bb doit\n    \u00eatre \u00e0 l\u2019\u00e9tat \u00ab\u00a0D\u00e9sactiv\u00e9\u00a0\u00bb/\u00ab\u00a0Disabled\u00a0\u00bb (\u00ab\u00a0Configuration\n    ordinateur\u00a0\u00bb / \u00abMod\u00e8le d\u2019administration\u00a0\u00bb / \u00ab\u00a0Imprimantes\u00a0\u00bb) ;\n-   mettre en place une d\u00e9tection syst\u00e8me et r\u00e9seau dans le but de\n    d\u00e9tecter les exploitations sur les \u00e9quipements vuln\u00e9rables, les\n    \u00e9ventuelles lat\u00e9ralisations ainsi que la compromission des contr\u00f4les\n    de domaine Active Directory ;\n-   suivre les recommandations de s\u00e9curisation d\u0027Active Directory \\[1\\].\n\n### Informations d\u0027aide \u00e0 la d\u00e9tection syst\u00e8me\n\nUne premi\u00e8re mesure de d\u00e9tection des codes d\u0027exploitation actuels\nconsistera en la surveillance des processus enfant cr\u00e9\u00e9s par le\nprocessus *spoolsv.exe*, les codes d\u0027exploitation utilisant cette\ntechnique pour ex\u00e9cuter un code malveillant. Pour tracer la cr\u00e9ation\nd\u0027un processus fils, on peut regarder les \u00e9v\u00e8nements suivants :\n\n-   l\u0027\u00e9v\u00e8nement num\u00e9ro 4688 du fournisseur\n    \"Microsoft-Windows-Security-Auditing\" enregistr\u00e9 dans le journal de\n    s\u00e9curit\u00e9, si la strat\u00e9gie est configur\u00e9e pour le g\u00e9n\u00e9rer car cet\n    \u00e9v\u00e8nement n\u0027est pas produit par d\u00e9faut ;\n-   l\u0027\u00e9v\u00e8nement num\u00e9ro 1 du fournisseur \"Microsoft-Windows-Sysmon\"\n    enregistr\u00e9 dans le journal sysmon si l\u0027outil System Monitor est\n    install\u00e9.\n\nIl convient de noter que les moyens de d\u00e9tection ci-dessus sont\npertinents dans le cadre de la d\u00e9tection d\u0027une exploitation \u00e0 l\u0027aide des\ncodes publi\u00e9s le 29 juin 2021.\n\nEn compl\u00e9ment, il pourrait \u00eatre utile de tracer\u00a0:\n\n-   l\u2019\u00e9v\u00e8nement num\u00e9ro 11 du fournisseur\n    \"Microsoft-Windows-Security-Mitigations/KernelMode\", qui pourra \u00eatre\n    utilis\u00e9 afin d\u2019identifier le chargement d\u2019une biblioth\u00e8que dynamique\n    (*dll*) non sign\u00e9e (champs SignatureLevel et ImageName) par le\n    processus spoolsv.exe\n    (\u00ab\u00a0ProcessPath:\\*\\\\Windows\\\\System32\\\\spoolsv.exe\u00a0\u00bb).\n-   l\u2019\u00e9v\u00e8nement num\u00e9ro 7 du fournisseur\n    \"Microsoft-Windows-Sysmon/Operational\" avec une configuration\n    appropri\u00e9e de System Monitor pour identifier le chargement de\n    biblioth\u00e8que (*dll*) par le processus spoolsv.exe\n    (\"Image:\\\\C:\\\\Windows\\\\System32\\\\spoolsv.exe\") depuis le r\u00e9pertoire\n    de pilote (champ\n    \"ImageLoaded:C:\\\\Windows\\\\System32\\\\spool\\\\drivers\\\\\\*\") avec le\n    champ \"Signed\" \u00e0 false\n-   \u003cstrong\u003e\\[16 juillet 2021\\]\u003c/strong\u003e L\u2019\u00e9v\u00e8nement num\u00e9ro 808 du fournisseur\n    \"Microsoft-Windows-PrintService/Admin\" indique qu\u0027une erreur est\n    survenue lors du chargement d\u0027un pilote (le chemin de la dll est\n    mentionn\u00e9 par le champ PluginDllName). Un nom peu commun peut \u00eatre\n    consid\u00e9r\u00e9 comme un marqueur. Note: l\u0027enregistrement de cet \u00e9v\u00e8nement\n    est activ\u00e9 par d\u00e9faut.\n-   \u003cstrong\u003e\\[16 juillet 2021\\]\u003c/strong\u003e Certaines valeurs non usuelles remont\u00e9es par\n    l\u2019\u00e9v\u00e8nement num\u00e9ro 13 du fournisseur\n    \"Microsoft-Windows-Sysmon/Operational\" peuvent indiquer une\n    exploitation. Par exemple : DriverVersion=0.0.0.0,\n    DriverDate=01/01/1601 ou encore Manufacturer=(Empty). L\u0027installation\n    d\u0027un pilote d\u0027imprimante avec une valeur \"Manufacturer\" vide est une\n    action devant \u00eatre consid\u00e9r\u00e9e comme suspecte. De plus, si les cl\u00e9s\n    \"*Configuration File*\" et \"*Data File*\" contiennent la m\u00eame valeur,\n    cela peut-\u00eatre consid\u00e9r\u00e9 comme une exploitation r\u00e9ussie. Note : la\n    configuration doit \u00eatre modifi\u00e9e pour surveiller les modifications\n    de registre dans\n    *HKLM\\\\System\\\\CurrentControlSet\\\\Control\\\\Print\\\\Environments\\\\Windows\n    x64\\\\Drivers\\\\Version-\\** par spoolsv.exe. Une r\u00e8gle Sigma peut \u00eatre\n    consult\u00e9e en suivant le lien \\[5\\].\n-   \u003cstrong\u003e\\[16 juillet 2021\\]\u003c/strong\u003e Les codes d\u0027exploitation publiques montrent\n    un caract\u00e8re d\u00e9terministe permettant une mise en d\u00e9tection \u00e0 l\u0027aide\n    de l\u2019\u00e9v\u00e8nement num\u00e9ro 316 du fournisseur\n    \"Microsoft-Windows-PrintService/Operational\". En effet, le champs\n    *Param1* contient le nom du driver (1234, Mimikatz\u2026) et le champs\n    *Param4* les valeurs de *pDriverPath*, *pConfigFile*, *pDataFile*.\n    On s\u2019int\u00e9ressera particuli\u00e8rement \u00e0 une valeur suspecte de\n    *pDataFile* ou de *Param1*. Quand l\u0027exploitation est r\u00e9ussie,\n    *pConfigFile* et *pDataFile* ont la m\u00eame valeur : la DLL\n    malveillante. Note : cet \u00e9v\u00e8nement n\u0027est pas activ\u00e9 par d\u00e9faut, il\n    s\u0027active de la fa\u00e7on suivante : *wevtutil.exe sl\n    \"Microsoft-Windows-PrintService/Operational\" /e:True*. Une r\u00e8gle\n    Sigma peut \u00eatre consult\u00e9e en suivant le lien \\[6\\].\n\nEnfin, l\u2019\u00e9diteur met \u00e0 disposition un ensemble d\u2019informations pour les\nutilisateurs de la solution Microsoft 365 Defender \\[2\\].\n",
  "title": "[MaJ] Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": "2021-07-15",
      "title": "[3] Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-34481",
      "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481"
    },
    {
      "published_at": "2021-08-11",
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-36958",
      "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958"
    },
    {
      "published_at": "2021-07-01",
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-34527",
      "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.