PrintNightmare, un cauchemar qui traîne en longueur

Spread the love
PrintNightmare, un cauchemar qui traîne en longueur

PrintNightmare désigne un lot de plusieurs vulnérabilités affectant le spouleur d’impression de Windows. Depuis le début du mois de juillet, Microsoft multiplie les patchs visant à corriger les différentes failles découvertes par les chercheurs dans ce composant de Windows, mais peine à tenir la cadence face aux nombreuses vulnérabilités découvertes.

Le dernier Patch Tuesday diffusé cette semaine par Microsoft apporte un début de réponse pour les administrateurs : le patch corrige la faille CVE-2021-36936, qui offrait à un attaquant la possibilité d’exécuter du code à distance en exploitant une vulnérabilité du spouleur d’impression de Windows. Une faille jugée critique par Microsoft, mais le patch corrige également deux autres vulnérabilités liées au spouleur d’impression. Cette mise à jour modifie le fonctionnement par défaut des systèmes, qui demanderont dorénavant les droits administrateurs pour installer de nouveaux drivers d’imprimantes. La mise à jour risque donc de compliquer la vie des administrateurs systèmes, mais Microsoft recommande de l’appliquer pour éviter que des attaquants n’exploitent la vulnérabilité à des fins malveillantes.

Malheureusement Microsoft n’est pas au bout de ses peines : le lendemain de la diffusion du Patch Tuesday, l’éditeur a confirmé l’existence d’une nouvelle faille affectant le spouleur d’impression, identifiée par le matricule CVE-2021-36958.

Dans un avis publié sur son site dédié, Microsoft décrit cette vulnérabilité comme une exécution de code à distance, qui peut être déclenchée «  lorsque le service Spouleur d’impression Windows exécute de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes avec des droits d’utilisateur complets. »

publicité

Le dormeur doit se réveiller 

Mais selon le chercheur Will Dormann interrogé par Bleeping Computer, l’exploitation de cette faille ne peut pas être réalisée à distance et l’attaquant a besoin d’un accès local à la machine pour exploiter cette vulnérabilité. On aurait donc plutôt affaire ici à une faille de type élévation de privilège en local, similaire à celle dévoilée par le chercheur Benjamin Delpy sur Twitter en juillet.

Pour l’instant, pas de patch officiel pour corriger cette vulnérabilité : Microsoft recommande aux administrateurs qui souhaitent s’en protéger de « stopper et désinstaller le spouleur d’impression. » En attendant un prochain patch qui viendra corriger cette nouvelle venue dans la famille des failles PrintNightmare. Microsoft attribue la découverte de cette vulnérabilité au chercheur Victor Mata d’Accenture, qui a indiqué sur Twitter l’avoir découverte et signalé à Microsoft en décembre 2020. Il indique que les détails concernant la vulnérabilité sont pour l’instant tenus secrets en attendant l’arrivée d’un patch correctif.

En attendant les patchs, les groupes cybercriminels ont de leur coté commencé à s’emparer de la famille des failles Printnightmare afin de les exploiter dans le cadre de leurs attaques. Comme le rapporte la société de cybersécurité CrowdStrike, des attaques tentant d’exploiter la faille CVE-2021-34527 ont été détectées et bloquées par ses équipes au mois de juillet. Ces tentatives d’exploitation visaient un client coréen de la société, et la société de cybersécurité attribue cette attaque à un groupe de ransomware connu sous le nom de Magniber et actif depuis 2017. Cette faille est l’une des premières failles identifiées dans la famille PrintNightmare, permettant une exécution de code à distance et corrigée dans le patch tuesday de Microsoft diffusé en juillet. L’exploitation de ces failles par les cybercriminels ne surprendra personne : celles ci peuvent permettre de facilement diffuser des logiciels malveillant, et le nombre de vulnérabilités découvertes dans le spouleur de Windows cet été leur donne l’embarras du choix pour développer des attaques s’appuyant sur ces failles.

Leave a Reply