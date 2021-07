Microsoft s’est retrouvé dans une impasse il y a quelques jours. Un rapport de sécurité a détaillé par inadvertance un problème exploitable dans différentes versions de Windows. Surnommée le bogue Windows PrintNightmare, la vulnérabilité non corrigée liée à l’imprimante permettrait aux attaquants d’exécuter du code à distance sur les systèmes. Microsoft a dépêché un correctif Windows PrintNightmare qui peut être installé immédiatement. Le correctif fonctionne sur Windows 10 version 1607, Windows Server 2012 et Windows Server 2016. Cependant, le correctif n’est pas parfait. Alors que les utilisateurs de Windows doivent mettre à jour leurs systèmes aussi rapidement que possible pour se protéger contre les attaques à distance, certains problèmes persistent.

La mise à jour résout le problème principal du bogue. Dans cet esprit, les administrateurs système Windows doivent déployer le correctif dès que possible.

À quoi sert le correctif Windows PrintNightmare ?

Les vulnérabilités trouvées dans le mécanisme d’impression de Windows permettraient à un pirate informatique de « prendre un contrôle total sur tous les environnements Windows qui permettent l’impression ». C’est selon le responsable de la cyber-recherche chez Check Point, Yaniv Balmas, qui a parlé du problème à The Hacker News. « Ce sont principalement des postes de travail mais, parfois, cela concerne des serveurs entiers qui font partie intégrante de réseaux organisationnels très populaires. Microsoft a classé ces vulnérabilités comme critiques, mais lorsqu’elles ont été publiées, ils n’ont pu en corriger qu’une seule, laissant la porte ouverte à l’exploration de la deuxième vulnérabilité.

Le problème de sécurité Windows PrintNightmare (CVE-2021-34527) concerne le service Windows Print Spooler. Plus précisément, la principale préoccupation concerne les utilisateurs non administrateurs ayant accès aux réseaux locaux et pouvant charger leurs propres pilotes d’imprimante. Ce n’est plus un problème.

« Après avoir installé ce [update] et les mises à jour Windows ultérieures, les utilisateurs qui ne sont pas administrateurs peuvent uniquement installer des pilotes d’impression signés sur un serveur d’impression », a expliqué Microsoft. « Les informations d’identification de l’administrateur seront requises pour installer des pilotes d’imprimante non signés sur un serveur d’impression à l’avenir. »

Un problème de sécurité demeure

Malgré cela, un problème de sécurité demeure. Le correctif Windows PrintNightmare ne résout qu’une partie du problème. Il s’agit « des variantes d’exécution de code à distance (RCE via SMB et RPC) de PrintNightmare, et non de la variante d’escalade des privilèges locaux (LPE) », a déclaré Will Dormann, analyste de vulnérabilité CERT/CC, à THN. Cela permettrait aux attaquants d’abuser de ce dernier et d’obtenir ensuite des privilèges système.

THN indique que des tests supplémentaires montrent que les exploits ciblant la faille pourraient contourner les correctifs et ramener l’exécution de code à distance. Mais pour que cela se produise, les utilisateurs devraient activer une politique Windows spécifique, des restrictions de pointage et d’impression.

“Point and Print n’est pas directement lié à cette vulnérabilité, mais la technologie affaiblit la posture de sécurité locale de telle sorte que l’exploitation sera possible”, a expliqué Microsoft.

Le rapport THN note qu’une solution de contournement consiste à activer les invites de sécurité pour Pointer et imprimer. Limiter les privilèges d’installation du pilote d’imprimante aux administrateurs augmentera encore la sécurité.

