Chaque mois, Microsoft publie une salve de mises à jour de sécurité à l’occasion d’un « patch tuesday ». Malgré la routine, celui du 14 septembre était particulièrement attendu. Et pour cause : l’éditeur de Windows a enfin mis un terme au sombre feuilleton de l’été, celui des vulnérabilités PrintNightmare (littéralement, le cauchemar de l’impression).

Fin juin, des chercheurs d’une entreprise chinoise, inquiets de se faire griller l’exclusivité de leurs travaux, ont publié le détail de leur méthode d’exploitation d’une vulnérabilité. Nommée PrintNightmare par leurs soins, elle se trouvait sur le spouleur d’impression Windows, le programme en charge du formatage et du transfert de données vers les imprimantes. Concrètement, elle permettait à un hacker d’accéder rapidement à l’Active Directory de Windows — sorte de tour de contrôle du système — en tant qu’administrateur. Le tout, à distance. Avec de telles commandes, les hackers peuvent lancer toutes sortes d’actes malveillants.

ebay-logo.jpg

Beep boup l’imprimante. // Source : Office Space

Si le trio de chercheurs pensait présenter une preuve de concept pour une vulnérabilité déjà réparée, il s’agissait en réalité d’une faille inconnue jusqu’ici. La publication a été retirée dans les heures suivantes, mais le mal était fait : les cybercriminels s’échangeaient déjà les détails sur la vulnérabilité.

Le feuilleton de l’été prend fin

Confronté à une situation inattendue, Microsoft a d’abord transmis des méthodes pour empêcher temporairement l’exploitation de la vulnérabilité. Bien que faciles à mettre en place, ces mesures de mitigation compliquaient voire empêchaient entièrement l’utilisation des imprimantes. Surtout, elles n’étaient qu’un pansement temporaire en attendant la publication d’un correctif. Ce dernier est arrivé 10 jours après la publication, le 8 juillet, dans un patch d’urgence.

Problème : le jour même, le chercheur français Benjamin Delpy relevait que les ajouts du correctif pouvaient être facilement contournés, et que PrintNightmare restait exploitable. Ce faux pas ne sera pas entièrement rattrapé sur l’été. Pire, d’autres vulnérabilités présentes sur d’autres fonctionnalités d’impression de Windows se sont ajoutées au PrintNightmare, devenu le terme pour désigner l’ensemble des failles.

PrintNightmare est corrigé, pour de bon cette fois

À partir du patch raté, ce n’était qu’une question de temps avant que différents gangs exploitent les vulnérabilités pour diffuser leur rançongiciel. Les groupes Vice Society, Magniber ou encore Conti ont ajouté PrintNightmare à leur arsenal, et l’ont combiné avec d’autres vulnérabilités pour réaliser leurs méfaits.

Le patch du 14 septembre vient corriger la vulnérabilité qui a démarré le feuilleton, traquée sous l’identifiant CVE-2021-36958. Pour de bon cette fois, semble-t-il. Interrogé par le BleepingComputer, Benjamin Delpy a confirmé que sa méthode d’exploitation ne fonctionne plus.

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !