Serveur d'impression

PrintNightmare

Détection

La détection de cibles potentiellement vulnérables, se fait à l’aide de la commande suivante :

rpcdump.py @10.10.11.106 | egrep 'MS-RPRN|MS-PAR'

Si celle-ci renvoie les éléments suivants, c’est que la machine est potentiellement vulnérable

Protocol: [MS-PAR]: Print System Asynchronous Remote Protocol
Protocol: [MS-RPRN]: Print System Remote Protocol

Exploitation distante

• https://github.com/cube0x0/CVE-2021-1675
• https://www.thedutchhacker.com/how-to-exploit-the-printnightmare-cve-2021-34527/

Exploitation locale

• https://0xdf.gitlab.io/2021/07/08/playing-with-printnightmare.html

Correction

Pour corriger cette vulnérabilité, il est nécessaire de mettre à jour le système. La désactivation du Spooler est aussi recommandée:

Stop-Service Spooler
REG ADD  "HKLM\SYSTEM\CurrentControlSet\Services\Spooler"  /v "Start" /t REG_DWORD /d "4" /f