Le 29 juin, plusieurs chercheurs de l’entreprise Sangfor ont dévoilé par erreur leur méthode pour exploiter une faille Windows qu’ils ont eux-mêmes découverte, appelée PrintNightmare. Le problème, c’est que Microsoft n’avait pas encore déployé de correctif quand ils ont publié en ligne leur documentation détaillant comme la vulnérabilité pouvait être exploitée. Les chercheurs ont rapidement supprimé leur test logiciel, mais le mal était déjà fait, et ce dernier s’est retrouvé sur GitHub.
Comme son nom l’indique, cette faille est située dans le gestionnaire de tâches d’impression de Windows, appelé spouleur d’impression. Ce dernier permet de gérer. En exploitant PrintNightmare, un pirate peut exécuter du code sur la machine d’un utilisateur. “Un attaquant pourrait alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d’utilisateur”, prévient Microsoft.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Microsoft a partiellement réparé la faille
Max Heinemeyer, de la société de sécurité informatique Darktrace, a déclaré à la BBC que PrintNightmare était comme « un cyber bazooka – il est relativement facile à utiliser pour les criminels et peut être utilisé pour avoir un impact énorme ».
Au départ, Microsoft, avec l’aide de plusieurs entreprises privées, a déployé plusieurs mesures afin d’empêcher l’exploitation de cette vulnérabilité. Pour cela, le spouleur a été désactivé. Or, cela empêchait les utilisateurs du réseau d’imprimer des documents. Cette solution, bien que temporaire, a évité que le problème empire.
Finalement, le 6 juillet, Microsoft a publié un patch pour réparer cette faille, identifiée avec le numéro de série CVE-2021-34527. Désormais corrigée, il suffit de télécharger la mise à jour. “Nous vous recommandons d’installer ces mises à jour immédiatement”, prévient l’entreprise.
Or, corriger une vulnérabilité aussi rapidement signifie que le patch n’est pas parfait. Comme l’indique BleepingComputer, des risques sont toujours existants. Des Proof of Concept (POC), étapes de validation concrète, résistent à PrintNightmare. En effet, un pirate pourrait toujours gagner des droits d’administrateur sur le système et accéder aux documents d’un utilisateur. Malgré tout, cela doit être fait depuis l’intérieur de l’organisation, ce qui limite les risques d’attaques importantes, comme l’indique Cyberguerre.
Par ailleurs, bien que le patch soit disponible pour la plupart des versions de Windows, certaines ne sont pas encore couvertes, comme Windows Server 2016. Des utilisateurs ont également révélé que pour eux, le correctif ne fonctionnait tout simplement pas.
