Une course entre chercheurs a mené à la publication d'un tutoriel pour exploiter une faille... qui n'était pas encore corrigée. Cette vulnérabilité nommée PrintNightmare se trouve dans pratiquement toutes les versions de Windows.

La vulnérabilité PrintNightmare, le « cauchemar des impressions », agite le monde de la cybersécurité en ce début juillet. Cette vulnérabilité est ce qu’on appelle dans le jargon une RCE (Remote Code Execution), un type de faille qui permet d’exécuter du code sur un ordinateur à distance. Dans ce cas, elle permet de s’infiltrer sur un système d’entreprise et même sur l’Active Directory, sorte de tour de contrôle du réseau. Pour la lancer, il suffit d’obtenir un accès au réseau, par exemple en achetant des identifiants. La porte ouverte par PrintNightmare permettrait en bout de chaîne de dérober des documents ou encore de déployer des rançongiciels.

La vulnérabilité se situe dans Windows Print Spooler, ou spoolsv.exe, le service chargé du processus d’impression de documents, inclus dans pratiquement toutes les versions du système d’exploitation de Microsoft. Autrement dit, les cibles potentielles d’une attaque se comptent en centaines de millions.

Oh wow ! Ce n’était pas la faute du stagiaire. // Source : CCO/Pxhere

Au 2 juin, trois jours après les premiers signes d’exploitation de PrintNightmare, Windows n’a pas encore pu déployer de patch correctif. En attendant, l’entreprise a donc publié une alerte détaillée, dans laquelle elle conseille aux utilisateurs soit de désactiver Windows Print Spooler, soit de désactiver le paramètre qui permet d’imprimer sans être directement connecté par un câble à la machine.

Bref : se protéger de l’exploitation de la faille n’est pas bien compliqué, mais engendre des difficultés d’utilisation. Surtout que Windows Print Spooler ne fait pas qu’organiser l’impression papier, c’est aussi lui qui prend en charge la conversion d’un document Word en format PDF ou OneNote par exemple.

Tout part d’une boulette

Dès le 29 juin, avant que la vulnérabilité ne commence à être exploitée, The Record Media s’était penché sur l’étrange apparition de PrintNightmare, due à… une erreur. Une équipe de trois chercheurs de l’entreprise chinoise Sangfor a publié une preuve de concept (i.e. une mise en pratique de l’exploitation) pour une vulnérabilité de Windows Print Spooler qu’ils pensaient déjà corrigée dans le dernier patch de Microsoft, la CVE-2021-1675.

Sauf que la faille qu’ils ont exploitée n’était pas celle qu’ils croyaient, mais une autre, désormais nommée CVE-2021-34527. Résultat : leur publication a révélé une « 0-day », surnom attribué aux failles sans correctif, sans qu’ils en aient conscience. Les chercheurs ont retiré leurs travaux dans les heures suivantes, mais le mal était déjà fait : plusieurs utilisateurs de GitHub avaient déjà copié leur code, et certains l’ont même republié dans les jours suivants. Le temps était compté avant que l’outil soit utilisé à des fins malveillantes.

Oups, les chercheurs ont publié une 0-day. // Source : Le dîner de cons

Pour comprendre l’origine de la « boulette », il faut rembobiner quelque temps plus tôt, le mardi 8 juin 2021, jour du « patch Tuesday » mensuel de Microsoft. Lors de ce rendez-vous, l’entreprise publie des correctifs pour les dizaines de failles découvertes récemment sur ses logiciels. Elle les range par type et par « criticité », un indicateur de dangerosité. Ce patch de juin est donc venu réparer 50 failles, et parmi elles, la CVE-2021-1675, qui n’avait aucune raison de faire les gros titres. Elle avait été découverte par trois équipes de chercheurs différentes plus tôt dans l’année, et Microsoft la décrivait comme une faille de faible importance, de type « élévation de privilège ». Autrement dit, elle pouvait être utilisée par un utilisateur lambda du réseau pour gagner des droits d’administrateurs, mais les scénarios d’attaque pour l’exploiter étaient particulièrement laborieux.

Une course à l’exclusivité qui dérive

Lorsque l’éditeur présente la faille, il ne précise pas comment l’exploiter, et surtout elle n’est déjà plus efficace sur les systèmes mis à jour. Si un cybercriminel veut profiter de la vulnérabilité, il doit donc faire de la rétro-ingénierie sur le patch pour identifier comment l’exploiter, puis créer l’outil. Un travail conséquent, qui peut demander un niveau de compétences élevé et qui sera inutile sur les systèmes à jour. La faille n’était pas suffisamment intéressante pour justifier ce travail.

Sauf que quelques semaines plus tard, Microsoft a requalifié la CVE-2021-1675 en RCE. Plusieurs chercheurs se sont  alors penchés sur le sujet : ceux de Sangfor, mais aussi d’une autre entreprise chinoise, QiAnXin. Ces derniers ont publié le 28 juin un GIF pour prouver qu’ils avaient trouvé une preuve de concept pour la faille, sauf qu’ils ne l’ont pas accompagnée de détails techniques. Ils voulaient entre autres laisser le temps à plus d’utilisateurs de déployer le correctif, et leur petite animation ne donnait aucun indicateur permettant de reproduire leur manipulation.

Un patch rapide ?

Le problème, c’est que ce GIF a suffi à faire déraper les chercheurs de Sangfor, qui ont mis à disposition de tous le code et les détails techniques de leur propre preuve de concept. Ils souhaitaient pourtant la préserver pour un concours chinois de hacking puis pour une présentation la conférence Black Hat USA. Ils ont donc précipité la publication de leurs travaux par peur de ne pas avoir la primauté, sans se rendre compte qu’ils révélaient une faille pas encore corrigée. Ce sont eux qui ont baptisé PrintNightmare… et qui ont indirectement déclenché la vague d’attaques.

Comme le rappelle The Record Media, Windows Print Spooler est connu pour être un nid à vulnérabilités dangereuses depuis les années 90. PrintNightmare n’est que le dernier nom d’une longue liste qui contient Print Demon, Evil Printer ou encore le célèbre Stuxnet. Le problème a pris une telle ampleur que Windows devrait émettre un correctif pour la faille dès que possible, avant le prochain patch Tuesday, fixé au 12 juillet.

Crédit photo de la une : Office Space

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux