Mise à jour du 8 juillet :
Le patch ne fonctionne pas comme prévu, au point qu’il est pratiquement inutile en attendant d’éventuelles modifications.
Article original du 7 juillet :
Le 29 juin, trois chercheurs de l’entreprise Sangfor ont fait l’erreur de lâcher dans la nature leur méthode pour exploiter une faille qu’ils ont eux-mêmes nommée PrintNightmare. Ils ont retiré leur documentation d’Internet dans les heures suivantes, mais le mal était déjà fait. Dès les jours suivants, des individus malveillants ont commencé à profiter de cette vulnérabilité présente sur le spouleur d’impression, un programme activé par défaut dans l’intégralité des systèmes Windows, chargé de traduire les commandes des utilisateurs aux imprimantes.
Cette vulnérabilité se range la catégorie des RCE, c’est-à-dire qu’elle permet à un hacker extérieur d’exécuter du code sur la machine de la victime. Dans ce cas, elle permettait même de remonter à l’Active Directory, sorte de tour de contrôle des réseaux Windows. Autrement dit : des millions de machines étaient vulnérables à une faille dangereuse.
Les imprimantes ne marchent pas et en plus les programmes nécessaires à leur fonctionnement contiennent des vulnérabilités. // Source : Office Space
Dans un premier temps, Microsoft et plusieurs entreprises privées ont déployé des mesures de « mitigation » destinées à empêcher l’exploitation de la faille. La plus radicale d’entre elles ? Désactiver le spouleur… ce qui empêche tous les utilisateurs du réseau d’imprimer leurs documents.
Ces mesures de mitigation n’avaient que vocation à limiter les dégâts en attendant le déploiement d’un correctif de la part de Microsoft. L’éditeur a finalement réussi à le publier, plus d’une semaine plus tard, le 6 juillet. Il l’a déployé en urgence puisque le « patch Tuesday » lors duquel l’éditeur regroupe tous ses correctifs n’arrivera que le 12 juillet.
Une faille à moitié réparée
Déployé le plus vite possible, le patch est imparfait, comme l’a relevé le Bleeping Computer. Il couvre la grande majorité des versions de Windows mais n’est pas disponible — temporairement — pour quelques-unes, comme Windows Server 2016.
Ensuite, si le correctif empêche l’utilisation de la RCE, il ne répare pas un autre bug inclus dans le PrintNightmare, une LPE (pour « local privilege escalation »). Cette vulnérabilité annexe permet à un membre du réseau de gagner des droits d’administrateur sur le système, et donc d’accéder à des documents qu’il ne devrait pas voir ou de faire des modifications imprévues. Bien que problématique la LPE est bien moins dangereuse que la RCE, puisqu’elle doit être lancée depuis l’intérieur de l’organisation, ce qui limite son exploitation à des scénarios d’attaque plus élaborés.
Maintenant, c’est aux entreprises de gérer la transition entre la mitigation et le patch de Printnightmare. Mais comme toutes les failles, elle devrait continuer à exister pendant de nombreuses années, la faute à de nombreux systèmes pas à jour.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
