Le 6 juillet, Microsoft a mis en ligne un correctif pour la partie la plus dangereuse de la vulnérabilité PrintNightmare.

Mise à jour du 8 juillet :

Le patch ne fonctionne pas comme prévu, au point qu’il est pratiquement inutile en attendant d’éventuelles modifications.

Article original du 7 juillet :

Le 29 juin, trois chercheurs de l’entreprise Sangfor ont fait l’erreur de lâcher dans la nature leur méthode pour exploiter une faille qu’ils ont eux-mêmes nommée PrintNightmare. Ils ont retiré leur documentation d’Internet dans les heures suivantes, mais le mal était déjà fait.  Dès les jours suivants, des individus malveillants ont commencé à profiter de cette vulnérabilité présente sur le spouleur d’impression, un programme activé par défaut dans l’intégralité des systèmes Windows, chargé de traduire les commandes des utilisateurs aux imprimantes.

Cette vulnérabilité se range la catégorie des RCE, c’est-à-dire qu’elle permet à un hacker extérieur d’exécuter du code sur la machine de la victime. Dans ce cas, elle permettait même de remonter à l’Active Directory, sorte de tour de contrôle des réseaux Windows. Autrement dit : des millions de machines étaient vulnérables à une faille dangereuse.

Les imprimantes ne marchent pas et en plus les programmes nécessaires à leur fonctionnement contiennent des vulnérabilités. // Source : Office Space

Dans un premier temps, Microsoft et plusieurs entreprises privées ont déployé des mesures de « mitigation » destinées à empêcher l’exploitation de la faille. La plus radicale d’entre elles ? Désactiver le spouleur… ce qui empêche tous les utilisateurs du réseau d’imprimer leurs documents.

Ces mesures de mitigation n’avaient que vocation à limiter les dégâts en attendant le déploiement d’un correctif de la part de Microsoft. L’éditeur a finalement réussi à le publier, plus d’une semaine plus tard, le 6 juillet. Il l’a déployé en urgence puisque le « patch Tuesday » lors duquel l’éditeur regroupe tous ses correctifs n’arrivera que le 12 juillet.

Une faille à moitié réparée

Déployé le plus vite possible, le patch est imparfait, comme l’a relevé le Bleeping Computer. Il couvre la grande majorité des versions de Windows mais n’est pas disponible — temporairement — pour quelques-unes, comme Windows Server 2016.

Ensuite, si le correctif empêche l’utilisation de la RCE, il ne répare pas un autre bug inclus dans le PrintNightmare, une LPE (pour « local privilege escalation »). Cette vulnérabilité annexe permet à un membre du réseau de gagner des droits d’administrateur sur le système, et donc d’accéder à des documents qu’il ne devrait pas voir ou de faire des modifications imprévues. Bien que problématique la LPE est bien moins dangereuse que la RCE, puisqu’elle doit être lancée depuis l’intérieur de l’organisation, ce qui limite son exploitation à des scénarios d’attaque plus élaborés.

Maintenant, c’est aux entreprises de gérer la transition entre la mitigation et le patch de Printnightmare. Mais comme toutes les failles, elle devrait continuer à exister pendant de nombreuses années, la faute à de nombreux systèmes pas à jour.

Crédit photo de la une : Disney

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux