PrintNightmare : une vulnérabilité partie pour hanter Microsoft

Microsoft a publié un rare correctif hors bande le 7 juillet pour corriger la vulnérabilité dite PrintNightmare. Mais l’éditeur semble n’avoir pas abordé certains aspects fondamentaux du bogue du spouleur d’impression de Windows. Dès lors, même les systèmes sur lesquels le correctif a été appliqué peuvent encore être en danger, selon plusieurs chercheurs.

Le contexte de cette saga quelque peu confuse est le suivant : Microsoft avait d’abord corrigé la CVE-2021-1675 dans le cadre du Patch Tuesday de juin, comme une vulnérabilité relativement critique permettant une élévation des privilèges locaux, mais la vraie nature du problème a été mise en évidence la semaine dernière lorsque deux chercheurs chinois, inquiets de voir leurs rivaux les prendre de vitesse, ont publié un démonstrateur pour ce qu’ils pensaient être la CVE-2021-1675. Ce n’était pas le cas : en fait, les chercheurs ont ainsi exposé une vulnérabilité bien plus critique, la CVE-2021-34527, pour laquelle aucun correctif n’était encore disponible.

Las, presque immédiatement après la publication du correctif de Microsoft, plusieurs experts ont indiqué avoir constaté que si le correctif traitait bien le volet exécution de code à distance de PrintNightmare, il ne couvrait pas l’élévation de privilèges dans certaines situations spécifiques. Concrètement, un attaquant déjà présent sur le réseau pouvait encore faire des ravages s’il le souhaitait. Le correctif semble donc être incomplet.

Pour John Hammond, de Huntress, c’est bien simple : à ce jour, il n’y a pas encore de scénario de remédiation couvrant les deux aspects de la vulnérabilité tout en permettant aux utilisateurs d’imprimer normalement. En outre, Windows 10 version 1607, Windows Server 2012 et Windows Server 2016 ne sont pas encore concernés par le correctif partiel proposé. Microsoft indique qu’il s’agit d’un choix délibéré : « certains paquets ne sont pas tout à fait prêts à être publiés. Nous estimons qu’il est important de fournir des mises à jour de sécurité aussi rapidement que possible, pour les systèmes que nous pouvons protéger en toute confiance aujourd’hui ».

Indépendamment de l’efficacité du correctif, il est toujours préférable que les utilisateurs le téléchargent et l’appliquent, même si cela peut perturber quelque peu les cycles des équipes de sécurité, alors que le Patch Tuesday de juillet est attendu pour le 13 juillet.

Pour Satnam Narang, ingénieur de recherche chez Tenable, PrintNightmare mérite une attention immédiate en raison de l’omniprésence du spouler d’impression de Windows et de la possibilité pour les attaquants d’exploiter la faille afin de se rendre maîtres d’un contrôleur de domaine : « ce n’est qu’une question de temps avant que [l’exploitation de cette vulnérabilité] ne soit largement intégrée aux boîtes à outils des attaquants. PrintNightmare restera un outil d’exploitation précieux pour les cybercriminels tant qu’il existera des systèmes vulnérables. Comme nous le savons, cela peut être longtemps le cas ».