Pourquoi il faut prendre au sérieux PrintNightmare

Les équipes de sécurité évaluent le potentiel de compromission par le biais d’une vulnérabilité d’exécution de code à distance (RCE) dans le spouleur d’impression de Windows. Ces efforts font suite à la publication d’un démonstrateur pour l’exploitation de celle-ci, référencée CVE-2021-1675 et surnommée PrintNightmare, sur GitHub à la fin du mois de juin par des chercheurs de la société chinoise Sangfor.

« Apparemment, les chercheurs ont commis une erreur en supposant que la vulnérabilité utilisée dans leur exploit était bien référencée CVE-2021-1675 et que le correctif correspondant avait été publié le 8 juin. »

Cette publication est survenue après qu’une autre entreprise ait publié un fichier .gif montrant un code d’exploitation pour la CVE-2021-1675. Boris Larin, chercheur senior en sécurité au GReAT de Kaspersky, résume la situation : « les chercheurs Zhiniang Peng et Xuefeng Li ont publié l’exploit PrintNightmare sur leur compte Twitter mardi, en même temps que l’annonce de leur prochaine présentation à la Black Hat. Apparemment, les chercheurs ont commis une erreur en supposant que la vulnérabilité utilisée dans leur exploit était bien référencée CVE-2021-1675 et que le correctif correspondant avait été publié le 8 juin ».

Las, « il s’est avéré que ce n’était pas le cas [car] le correctif de la CVE-2021-1675 concernait en fait une autre vulnérabilité, et l’exploit PrintNightmare s’est avéré être un exploit de type “zero-day” sans correctif de sécurité disponible », explique Boris Larin.

La vulnérabilité CVE-2021-1675 a été révélée pour la première fois dans le cadre du Patch Tuesday de juin de Microsoft. Initialement, il semblait s’agir d’une vulnérabilité d’élévation de privilèges à l’impact relativement faible, qui pouvait être utilisée pour exécuter du code en tant qu’administrateur sur un système cible exécutant le service de spouler d’impression de Windows.

Mais le 21 juin, Microsoft a reclassé cette vulnérabilité en vulnérabilité RCE et l’a fait passer de faible à critique. Ce qui complique une situation déjà un peu délicate, et signifie que l’absence de correctif est plus préoccupante qu’elle ne l’aurait été autrement.

Heureusement, il existe une solution temporaire : John Hammond, de Huntress, explique que celle-ci « consiste à désactiver le service Print Spooler ».

La désactivation de ce service peut avoir des effets secondaires indésirables dans certaines situations. Toutefois, précise John Hammond, il s’agit d’une tâche assez simple qui peut être réalisée sur une seule machine avec quelques commandes PowerShell. De plus amples détails sont disponibles ici.

Le spouler d’impression est un service Windows activé par défaut pour gérer les imprimantes et les serveurs d’impression. Il est donc très répandu dans tous les parcs informatiques des entreprises. Des vulnérabilités ont été fréquemment découvertes au fil des ans et peuvent être très efficaces – c’est une vulnérabilité affectant ce service qui a ouvert la voie au tristement célèbre incident Stuxnet.

Pour Jan Vojtěšek, chercheur en maliciels chez Avast, « cette vulnérabilité pourrait permettre à un attaquant distant de prendre complètement le contrôle d’une machine Windows. Elle pourrait également être utilisée par un attaquant pour obtenir davantage de privilèges sur une machine à laquelle il a déjà un accès limité ».

Aujourd’hui, souligne-t-il, « ce qui rend cette vulnérabilité extrêmement dangereuse, c’est la combinaison de l’absence de correctif et de l’existence d’un démonstrateur. N’importe quel attaquant peut désormais tenter d’exploiter cette vulnérabilité afin d’effectuer des actions malveillantes. Cela met une forte pression sur Microsoft, qui devrait maintenant publier le correctif dès que possible ».

Et Boris Larin de renchérir : « la vulnérabilité est sans aucun doute grave, car elle permet d’élever les privilèges sur l’ordinateur local ou d’accéder à d’autres ordinateurs au sein du réseau de l’organisation. En même temps, cette vulnérabilité est généralement moins dangereuse que, par exemple, les récentes vulnérabilités de type “zero-day” dans Microsoft Exchange, principalement parce que pour exploiter PrintNightmare, les attaquants doivent déjà se trouver dans le réseau de l’entreprise ».

Concrètement, PrintNightmare a ainsi peu de chances de devenir un vecteur d’intrusion initiale pour la conduite de cyberattaques. Mais à défaut de l’application d’un correctif à venir et de la désactivation du service de spouler d’impression, rien ne dit que cette vulnérabilité ne viendra pas enrichir l’arsenal des moyens de déplacement latéral dans les environnements attaqués.