Pour gérer vos consentements :
Categories: Sécurité

PrintNightmare : le « demi-correctif » de Microsoft

En aura-t-on bientôt fini avec PrintNightmare ? Voilà un peu plus d’une semaine qu’on a connaissance de cette faille. Localisée dans le spouleur d’impression de Windows, elle met en danger jusqu’aux contrôleurs de domaines Active Directory.

Microsoft a fini par publier un correctif. Mais ce n’est pas la panacée. En tout cas, des PoC lui résistent, au moins en partie. Certains sur le volet élévation de privilèges. D’autres sur l’exécution de code à distance. Voire sur les deux.

Dans certaines configurations, le patch ne semble tout simplement pas fonctionner.

Autre constat : RpcAddPrinterDriverEx() (ajout de pilotes d’impression) n’est pas la seule fonction vulnérable. RpcEnumPrinterDrivers (listage des pilotes) peut aussi permettre l’exécution d’une charge malveillante.

PrintNightmare : des portes restent ouvertes

Utiliser le protocole MS-PAR plutôt que MS-RPRN semble aussi mettre à mal le correctif. En particulier le blocage de l’élévation de privilèges.

Du côté des PoC qui restaurent l’exécution de code à distance, on s’appuie notamment sur la fonction Point and Print. Laquelle permet à un client de récupérer automatiquement les informations de configuration d’une imprimante distante.

Le correctif a une compatibilité descendante jusqu’à Windows 7 SP1 et Server 2008 SP2. Avec lui :

  • Seuls les administrateurs peuvent installer des pilotes d’impression signés
  • La délégation des autorisations – notamment au travers du groupe opérateur d’impression – n’est plus prise en charge ; les utilisateurs sont soit admins, soit non admins
  • Côté client, en cas de tentative d’installation de pilote non signé, affichage d’un avertissement et demande d’identification admin. En revanche, si un pilote est signé, il s’installe, peu importe le paramétrage de la valeur de registre RestrictDriverInstallationToAdministrators.

Illustration principale © A Stockphoto – Adobe Stock

Recent Posts

Salaires IT : les experts en cybersécurité et data plébiscités

Le marché de l'emploi IT reste dynamique. Le rapport de force penche en faveur de…

23 heures ago

Data management : Rubrik nomme John Murphy RSSI « Global Field »

Rubrik a recruté John Murphy, ex-décideur IT de BNY Mellon, pour soutenir la sécurité "zero…

1 jour ago

PrintNightmare : Microsoft n’en est pas encore sorti

L'Update Tuesday de septembre comprend une nouvelle livrée de correctifs pour les failles PrintNightmare... et…

1 jour ago

Einstein Automate a un an : où en est Salesforce ?

Il y a un an, Salesforce inaugurait la bannière Einstein Automate. Comment les produits qu'elle…

1 jour ago

SaaS « souverain » : OVHcloud et Talentsoft font cause commune

OVHcloud et Talentsoft, entreprise récemment acquise par Cegid, proposent une offre cloud de gestion du…

2 jours ago

Microsoft a-t-il vraiment éliminé les mots de passe ?

L'option de connexion sans mot de passe se diffuse sur les comptes Microsoft. Mais il…

2 jours ago