Chaque mois, Microsoft publie une salve de mises à jour de sécurité à l’occasion d’un « patch tuesday ». Malgré la routine, celui du 14 septembre était particulièrement attendu. Et pour cause : l’éditeur de Windows a enfin mis un terme au sombre feuilleton de l’été, celui des vulnérabilités PrintNightmare (littéralement, le cauchemar de l’impression).
Fin juin, des chercheurs d’une entreprise chinoise, inquiets de se faire griller l’exclusivité de leurs travaux, ont publié le détail de leur méthode d’exploitation d’une vulnérabilité. Nommée PrintNightmare par leurs soins, elle se trouvait sur le spouleur d’impression Windows, le programme en charge du formatage et du transfert de données vers les imprimantes. Concrètement, elle permettait à un hacker d’accéder rapidement à l’Active Directory de Windows — sorte de tour de contrôle du système — en tant qu’administrateur. Le tout, à distance. Avec de telles commandes, les hackers peuvent lancer toutes sortes d’actes malveillants.
Si le trio de chercheurs pensait présenter une preuve de concept pour une vulnérabilité déjà réparée, il s’agissait en réalité d’une faille inconnue jusqu’ici. La publication a été retirée dans les heures suivantes, mais le mal était fait : les cybercriminels s’échangeaient déjà les détails sur la vulnérabilité.
Le feuilleton de l’été prend fin
Confronté à une situation inattendue, Microsoft a d’abord transmis des méthodes pour empêcher temporairement l’exploitation de la vulnérabilité. Bien que faciles à mettre en place, ces mesures de mitigation compliquaient voire empêchaient entièrement l’utilisation des imprimantes. Surtout, elles n’étaient qu’un pansement temporaire en attendant la publication d’un correctif. Ce dernier est arrivé 10 jours après la publication, le 8 juillet, dans un patch d’urgence.
Problème : le jour même, le chercheur français Benjamin Delpy relevait que les ajouts du correctif pouvaient être facilement contournés, et que PrintNightmare restait exploitable. Ce faux pas ne sera pas entièrement rattrapé sur l’été. Pire, d’autres vulnérabilités présentes sur d’autres fonctionnalités d’impression de Windows se sont ajoutées au PrintNightmare, devenu le terme pour désigner l’ensemble des failles.
PrintNightmare est corrigé, pour de bon cette fois
À partir du patch raté, ce n’était qu’une question de temps avant que différents gangs exploitent les vulnérabilités pour diffuser leur rançongiciel. Les groupes Vice Society, Magniber ou encore Conti ont ajouté PrintNightmare à leur arsenal, et l’ont combiné avec d’autres vulnérabilités pour réaliser leurs méfaits.
Le patch du 14 septembre vient corriger la vulnérabilité qui a démarré le feuilleton, traquée sous l’identifiant CVE-2021-36958. Pour de bon cette fois, semble-t-il. Interrogé par le BleepingComputer, Benjamin Delpy a confirmé que sa méthode d’exploitation ne fonctionne plus.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.