À l'occasion du patch tuesday de septembre, Microsoft a corrigé la dernière vulnérabilité de PrintNightmare. L'exploitation de cette faille permettait de modifier les appareils Windows à distance.

Chaque mois, Microsoft publie une salve de mises à jour de sécurité à l’occasion d’un « patch tuesday ». Malgré la routine, celui du 14 septembre était particulièrement attendu. Et pour cause : l’éditeur de Windows a enfin mis un terme au sombre feuilleton de l’été, celui des vulnérabilités PrintNightmare (littéralement, le cauchemar de l’impression).

Fin juin, des chercheurs d’une entreprise chinoise, inquiets de se faire griller l’exclusivité de leurs travaux, ont publié le détail de leur méthode d’exploitation d’une vulnérabilité. Nommée PrintNightmare par leurs soins, elle se trouvait sur le spouleur d’impression Windows, le programme en charge du formatage et du transfert de données vers les imprimantes. Concrètement, elle permettait à un hacker d’accéder rapidement à l’Active Directory de Windows — sorte de tour de contrôle du système — en tant qu’administrateur. Le tout, à distance. Avec de telles commandes, les hackers peuvent lancer toutes sortes d’actes malveillants.

Beep boup l’imprimante. // Source : Office Space

Si le trio de chercheurs pensait présenter une preuve de concept pour une vulnérabilité déjà réparée, il s’agissait en réalité d’une faille inconnue jusqu’ici. La publication a été retirée dans les heures suivantes, mais le mal était fait : les cybercriminels s’échangeaient déjà les détails sur la vulnérabilité.

Le feuilleton de l’été prend fin

Confronté à une situation inattendue, Microsoft a d’abord transmis des méthodes pour empêcher temporairement l’exploitation de la vulnérabilité. Bien que faciles à mettre en place, ces mesures de mitigation compliquaient voire empêchaient entièrement l’utilisation des imprimantes. Surtout, elles n’étaient qu’un pansement temporaire en attendant la publication d’un correctif. Ce dernier est arrivé 10 jours après la publication, le 8 juillet, dans un patch d’urgence.

Problème : le jour même, le chercheur français Benjamin Delpy relevait que les ajouts du correctif pouvaient être facilement contournés, et que PrintNightmare restait exploitable. Ce faux pas ne sera pas entièrement rattrapé sur l’été. Pire, d’autres vulnérabilités présentes sur d’autres fonctionnalités d’impression de Windows se sont ajoutées au PrintNightmare, devenu le terme pour désigner l’ensemble des failles.

PrintNightmare est corrigé, pour de bon cette fois

À partir du patch raté, ce n’était qu’une question de temps avant que différents gangs exploitent les vulnérabilités pour diffuser leur rançongiciel. Les groupes Vice Society, Magniber ou encore Conti ont ajouté PrintNightmare à leur arsenal, et l’ont combiné avec d’autres vulnérabilités pour réaliser leurs méfaits.

Le patch du 14 septembre vient corriger la vulnérabilité qui a démarré le feuilleton, traquée sous l’identifiant CVE-2021-36958. Pour de bon cette fois, semble-t-il. Interrogé par le BleepingComputer, Benjamin Delpy a confirmé que sa méthode d’exploitation ne fonctionne plus.

Crédit photo de la une : CCO/Pxhere

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux