Le patch qui devait mettre fin au PrintNightmare... peut être contourné.

C’était la bonne nouvelle du 6 juillet : Microsoft a publié un patch en urgence pour enfin réparer la faille PrintNightmare, qui occupait les équipes de cybersécurité depuis une semaine. Cette vulnérabilité, présente sur pratiquement l’intégralité des systèmes Windows, permet à un attaquant extérieur d’exécuter du code sur les systèmes de la victime — c’est pourquoi on la qualifie de RCE (remote code execution) dans le jargon. Concrètement, PrintNightmare permet à un hacker de s’infiltrer sur un système vulnérable, et de remonter jusqu’à l’Active Directory, l’équivalent de la tour de contrôle des réseaux Windows.

Les imprimantes ne marchent jamais et EN PLUS elles contiennent des failles. Détruisons-les. // Source : Office Space

Après la publication du patch, ce cauchemar semblait derrière les équipes de sécurité. Problème : dès le lendemain, plusieurs chercheurs, dont le français Benjamin Delpy (créateur de l’outil d’attaque Mimikatz) ont trouvé une méthode pour contourner le correctif. Grossièrement, elle consiste à utiliser un autre standard d’appellation que celui utilisé par le patch, l’Universal Naming Convention (UNC), pour quand même accéder aux fichiers que le correctif doit protéger. À The Register, Benjamin Delpy a expliqué qu’il trouvait que le problème était « bizarre venant de Microsoft », et il suggère même « qu’ils n’ont pas vraiment testé » le patch.

Pas de patch, pas d’impression

Si Microsoft galère autant dans sa gestion de la vulnérabilité, c’est aussi parce qu’il a été pris de court. La méthode d’exploitation de PrintNightmare a été publiée par un trio de chercheurs de Sangfor, qui avait peur de se faire griller l’exclusivité sur leur découverte. Même s’ils ont rapidement reconnu leur erreur et retiré la publication, leur outil était déjà dans la nature, et désormais, n’importe qui peut s’en saisir.

En attendant que Microsoft corrige son correctif pour PrintNightmare, les entreprises n’ont d’autres choix que d’appliquer un ensemble de mesures plus ou moins dérangeantes pour leur fonctionnement. La plus radicale d’entre elles consiste à désactiver le « spouler d’impression » (le programme de Windows visé par l’attaque). Activé par défaut sur toutes les versions du logiciel, il a en charge tout le processus d’impression (d’où son nom) papier, mais aussi de certaines fonctionnalités comme la conversion en fichier PDF. Autrement dit, des entreprises entières ne peuvent plus imprimer : il y a pire, mais c’est un vrai problème.

Et si les défenseurs oublient de désactiver le spouleur sur un de leurs systèmes Windows exposés à internet, ils s’exposent à une attaque d’ampleur. Désormais, à Microsoft de réagir : son patch day, le rendez-vous mensuel où l’éditeur publie tous ses correctifs, arrive le 12 juillet, et serait la bonne occasion de mettre fin à PrintNightmare.

Crédit photo de la une : Office Space

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux