PrintNightmare : le « demi-correctif » de Microsoft

En aura-t-on bientôt fini avec PrintNightmare ? Voilà un peu plus d’une semaine qu’on a connaissance de cette faille. Localisée dans le spouleur d’impression de Windows, elle met en danger jusqu’aux contrôleurs de domaines Active Directory.

Microsoft a fini par publier un correctif. Mais ce n’est pas la panacée. En tout cas, des PoC lui résistent, au moins en partie. Certains sur le volet élévation de privilèges. D’autres sur l’exécution de code à distance. Voire sur les deux.

Dans certaines configurations, le patch ne semble tout simplement pas fonctionner.

Autre constat : RpcAddPrinterDriverEx() (ajout de pilotes d’impression) n’est pas la seule fonction vulnérable. RpcEnumPrinterDrivers (listage des pilotes) peut aussi permettre l’exécution d’une charge malveillante.

PrintNightmare : des portes restent ouvertes

Utiliser le protocole MS-PAR plutôt que MS-RPRN semble aussi mettre à mal le correctif. En particulier le blocage de l’élévation de privilèges.

Du côté des PoC qui restaurent l’exécution de code à distance, on s’appuie notamment sur la fonction Point and Print. Laquelle permet à un client de récupérer automatiquement les informations de configuration d’une imprimante distante.

Le correctif a une compatibilité descendante jusqu’à Windows 7 SP1 et Server 2008 SP2. Avec lui :

• Seuls les administrateurs peuvent installer des pilotes d’impression signés
• La délégation des autorisations – notamment au travers du groupe opérateur d’impression – n’est plus prise en charge ; les utilisateurs sont soit admins, soit non admins
• Côté client, en cas de tentative d’installation de pilote non signé, affichage d’un avertissement et demande d’identification admin. En revanche, si un pilote est signé, il s’installe, peu importe le paramétrage de la valeur de registre RestrictDriverInstallationToAdministrators.

Illustration principale © A Stockphoto – Adobe Stock