PrintNightmare : une vulnérabilité plus critique que prévu
Pour Microsoft, le dernier Patch Tuesday ne s’est pas tout à fait déroule comme prévu. Parmi les différents correctifs embarqués par l’édition de ce mois ci se trouvait un correctif pour une faille affectant le spouleur d’impression des différents systèmes Windows. Ce terme désigne l’utilitaire Windows chargé de gérer l’ensemble des taches liées à l’impression sur les systèmes Windows. Celui ci contenait une faille de sécurité, identifiée CVE-2021-1675, qui n’était pas considérée comme critique par Microsoft, mais que l’éditeur corrigeait quand même dans son bulletin mensuel de correctif de sécurité. Microsoft considérait alors que la faille en question permettait une simple élévation de privilège pour un attaquant bénéficiant d’un accès local à l’appareil vulnérable, ce qui valait à la vulnérabilité d’écoper d’un score CVSS de 7,8, la classant parmi les vulnérabilités à gravité modérée.
Mais mardi, des chercheurs ont publié sur Github une première preuve de concept montrant que la faille était en réalité plus inquiétante que prévue : cette nouvelle exploitation de la faille pouvait cette fois se faire à distance, et permettre « une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM » comme le souligne le CERT-Fr dans son alerte. La vulnérabilité devenait donc bien plus sérieuse : comme le note l’alerte du CERT-Fr, le spouleur Windows « est activé sur les contrôles de domaine Active Directory.Un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de l’administrateur de domaine Active Directory. »
La preuve de concept a rapidement disparu de Github, mais plusieurs autres comptes ont eu le temps de récupérer le code d’exploitation et de le repartager comme le remarque LeMondeInformatique. Pour l’instant, le patch diffusé par Microsoft en début de mois est incomplet et ne suffit pas à combler complètement la faille de sécurité : plusieurs chercheurs en sécurité ont montré au cours des deux derniers jours qu’il était tout à fait possible d’exploiter la vulnérabilité sur un système à jour.
Microsoft devra donc probablement publier un nouveau patch afin de corriger entièrement la faille de sécurité mais pour l’instant, la société n’a pas encore communiqué à ce sujet. Pour s’en prémunir, le CERT-Fr recommande aux administrateurs de désactiver complètement le spouleur d’impression sur les contrôleurs de domaines « ainsi que sur toute autre machine sur lequel ce service n’est pas nécessaire, particulièrement pour des machines hébergeant des services privilégiés sur l’Active Directory » et de rester attentif afin de détecter d’éventuelles exploitations de cette vulnérabilité. Au sein de la communauté de la sécurité informatique, la faille a écope du surnom de PrintNightmare (Cauchemar d’impression).