C’était la bonne nouvelle du 6 juillet : Microsoft a publié un patch en urgence pour enfin réparer la faille PrintNightmare, qui occupait les équipes de cybersécurité depuis une semaine. Cette vulnérabilité, présente sur pratiquement l’intégralité des systèmes Windows, permet à un attaquant extérieur d’exécuter du code sur les systèmes de la victime — c’est pourquoi on la qualifie de RCE (remote code execution) dans le jargon. Concrètement, PrintNightmare permet à un hacker de s’infiltrer sur un système vulnérable, et de remonter jusqu’à l’Active Directory, l’équivalent de la tour de contrôle des réseaux Windows.

PrintNightmare : oups, le correctif déployé en urgence par Microsoft ne fonctionne pas

Les imprimantes ne marchent jamais et EN PLUS elles contiennent des failles. Détruisons-les. // Source : Office Space

Après la publication du patch, ce cauchemar semblait derrière les équipes de sécurité. Problème : dès le lendemain, plusieurs chercheurs, dont le français Benjamin Delpy (créateur de l’outil d’attaque Mimikatz) ont trouvé une méthode pour contourner le correctif. Grossièrement, elle consiste à utiliser un autre standard d’appellation que celui utilisé par le patch, l’Universal Naming Convention (UNC), pour quand même accéder aux fichiers que le correctif doit protéger. À The Register, Benjamin Delpy a expliqué qu’il trouvait que le problème était « bizarre venant de Microsoft », et il suggère même « qu’ils n’ont pas vraiment testé » le patch.

Pas de patch, pas d’impression

Si Microsoft galère autant dans sa gestion de la vulnérabilité, c’est aussi parce qu’il a été pris de court. La méthode d’exploitation de PrintNightmare a été publiée par un trio de chercheurs de Sangfor, qui avait peur de se faire griller l’exclusivité sur leur découverte. Même s’ils ont rapidement reconnu leur erreur et retiré la publication, leur outil était déjà dans la nature, et désormais, n’importe qui peut s’en saisir.

En attendant que Microsoft corrige son correctif pour PrintNightmare, les entreprises n’ont d’autres choix que d’appliquer un ensemble de mesures plus ou moins dérangeantes pour leur fonctionnement. La plus radicale d’entre elles consiste à désactiver le « spouler d’impression » (le programme de Windows visé par l’attaque). Activé par défaut sur toutes les versions du logiciel, il a en charge tout le processus d’impression (d’où son nom) papier, mais aussi de certaines fonctionnalités comme la conversion en fichier PDF. Autrement dit, des entreprises entières ne peuvent plus imprimer : il y a pire, mais c’est un vrai problème.

Et si les défenseurs oublient de désactiver le spouleur sur un de leurs systèmes Windows exposés à internet, ils s’exposent à une attaque d’ampleur. Désormais, à Microsoft de réagir : son patch day, le rendez-vous mensuel où l’éditeur publie tous ses correctifs, arrive le 12 juillet, et serait la bonne occasion de mettre fin à PrintNightmare.