PrintNightmare : Microsoft n’est toujours pas au bout de ses peines
La correction de la faille PrintNightmare se révèle plus complexe que prévu. Cette faille a été initialement découverte il y a environ un an par un chercheur en sécurité chinois, qui l’a signalée à Microsoft. Un premier correctif a été livré par l’éditeur dans son Patch Tuesday du mois de juin, corrigeant une faille jugée à l’époque peu dangereuse et identifiée par le CVE-2021-1675.
Problème résolu ? Pas exactement : plusieurs chercheurs en sécurité ont rapidement découvert que la faille restait exploitable malgré le correctif initial, et que celle-ci se révélait même plus grave que prévu, en pouvant être exploitée à distance et sur des serveurs et postes de travail exécutant le service de spouleur d’impression de Windows. « Ces codes exploitent la possibilité offerte par le service spouleur d’impression de téléverser un pilote, dans le cadre de l’ajout d’une nouvelle imprimante, pour installer un code malveillant.
Ce service étant activé par défaut, tout système Windows est donc actuellement vulnérable, avec la possibilité d’une exploitation à distance », explique le CERT-FR au sujet de la faille, soulignant que celle-ci pose un véritable risque, puisqu’elle permet d’affecter des contrôleurs de domaine Active Directory et d’en prendre le contrôle. Le genre de vulnérabilité qui fait le bonheur des groupes cybercriminels.
Patcher ne suffit pas toujours
Sous la pression des chercheurs en sécurité, Microsoft a donc publié cette semaine un correctif exceptionnel dédié à ce qu’il considère comme une « nouvelle vulnérabilité », identifiée cette fois par le CVE-2021-34527.
Mais, une nouvelle fois, les chercheurs contestent l’approche de Microsoft dans la correction de ce problème. Comme l’explique Benjamin Delpy, créateur de Mimikatz, « la communication de Microsoft est très brouillonne sur le sujet de cette vulnérabilité. Le fait d’attribuer deux identifiants différents questionne, parce que du point de vue des chercheurs, on parle bien d’une seule et même faille. Et la réponse de Microsoft ne prend pas en compte la réalité des entreprises. Le patch exceptionnel n’empêche pas l’exploitation de la faille dans tous les cas de figure ».
En cause, une configuration particulière et populaire en entreprise, connue sous le nom de Point and Print. « C’est une fonctionnalité introduite par Microsoft dans Windows, et qui permet d’installer des drivers d’imprimante localement ou à distance, sans avoir besoin d’avoir les droits d’administrateur », explique Benjamin Delpy. Une fonctionnalité plutôt pratique, qui vise donc à simplifier la vie des utilisateurs et qui a été activée dans de nombreuses entreprises. « C’est quelque chose d’assez populaire, à tel point que le ministère américain de la Défense recommandait encore de l’activer dans ses guides officiels pour la configuration des systèmes Windows », précise Benjamin Delpy.
Clés de registre à vérifier
Mais, selon le chercheur, le fait d’avoir cette fonctionnalité activée permet à un attaquant de continuer à exploiter la vulnérabilité PrintNightmare, et ce même si le système dispose de la dernière mise à jour de sécurité diffusée par Microsoft cette semaine. Le problème a été remonté à Microsoft, qui y fait référence dans son dernier avis au sujet de la faille : « tous les rapports que nous avons étudiés se sont appuyés sur la modification du paramètre de registre par défaut lié à Point and Print sur une configuration non sécurisée ». La fonctionnalité Point and Print étant désactivée par défaut, Microsoft considère que le correctif « fonctionne comme prévu ».
Pour les entreprises qui utilisent cette configuration, la simple application du patch ne suffit pas à se protéger entièrement : Microsoft recommande donc de vérifier deux clés de registres (NoWarningNoElevationOnInstall et UpdatePromptSettings), qui doivent être réglées sur 0. Pour Benjamin Delpy néanmoins, cette première étape ne suffit pas. « la clé de registre vraiment importante est présentée comme une solution optionnelle par Microsoft : RestrictDriverInstallationToAdministrators qui doit être activée pour protéger la machine de l’exploitation. Cela permet d’empêcher un utilisateur ne disposant pas des droits d’administrateur de charger des drivers dans le processus du spouleur d’impression, ce qui est à l’origine de la vulnérabilité PrintNightmare. »
Pas cher payé
Le créateur de Mimikatz estime que le correctif apporté par Microsoft reste « incomplet » et surtout mal expliqué : « ce n’est clair pour personne, et même Microsoft se trompe parfois dans sa propre documentation. Dans ces cas de figure, difficile de les croire sur parole, et mieux vaut tester soi-même pour vérifier l’effectivité du patch et des mesures de protection ». De la même façon, mieux vaut rester prudent et prendre le temps d’étudier l’impact des mesures de correction évoquées. « L’activation de RestrictDriverInstallationToAdministrators, ou la désactivation de NoWarningNoElevationOnInstall, peut provoquer des effets de bord sur certaines configurations. On ne connaît pas encore exactement les effets, donc mieux vaut le tester en interne avant de le mettre en place à grande échelle », précise Benjamin Delpy.
En attendant un éventuel prochain patch plus complet et plus facile à mettre en œuvre, les administrateurs devront redoubler de vigilance : Microsoft a indiqué dans ses alertes avoir détecté des tentatives d’exploitations de la faille par des acteurs inconnus et potentiellement malveillants. Et le chercheur à l’origine de la découverte a de son côté indiqué avoir reçu une récompense de 5 000 dollars pour la faille à l’origine de l’histoire : une récompense assez faible, pour la faille CVE-2021-1675, que Microsoft distingue de PrintNightmare identifiée CVE-2021-34527. Comme l’explique le chercheur sur Twitter : « je ne fais pas mes recherches pour l’argent. Mais j’ai l’impression que mon travail est sous-estimé ».
