En aura-t-on bientôt fini avec PrintNightmare ? Voilà un peu plus d’une semaine qu’on a connaissance de cette faille. Localisée dans le spouleur d’impression de Windows, elle met en danger jusqu’aux contrôleurs de domaines Active Directory.
Microsoft a fini par publier un correctif. Mais ce n’est pas la panacée. En tout cas, des PoC lui résistent, au moins en partie. Certains sur le volet élévation de privilèges. D’autres sur l’exécution de code à distance. Voire sur les deux.
Dans certaines configurations, le patch ne semble tout simplement pas fonctionner.
Autre constat : RpcAddPrinterDriverEx() (ajout de pilotes d’impression) n’est pas la seule fonction vulnérable. RpcEnumPrinterDrivers (listage des pilotes) peut aussi permettre l’exécution d’une charge malveillante.
Utiliser le protocole MS-PAR plutôt que MS-RPRN semble aussi mettre à mal le correctif. En particulier le blocage de l’élévation de privilèges.
Du côté des PoC qui restaurent l’exécution de code à distance, on s’appuie notamment sur la fonction Point and Print. Laquelle permet à un client de récupérer automatiquement les informations de configuration d’une imprimante distante.
Le correctif a une compatibilité descendante jusqu’à Windows 7 SP1 et Server 2008 SP2. Avec lui :
Illustration principale © A Stockphoto – Adobe Stock
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…