Pour gérer vos consentements :
Categories: Sécurité

PrintNightmare : Microsoft n’en est pas encore sorti

Microsoft en a-t-il fini avec PrintNightmare ? Avec l’Update Tuesday de septembre, il y a des avancées chez l’éditeur… mais aussi des régressions chez ses clients.

Officiellement, cette livraison mensuelle colmate un total de 86 failles. Parmi elles, trois que Microsoft a reconnu appartenir à la famille PrintNightmare (CVE-2021-38667, CVE-2021-38671 et CVE-2021-40447).

Dans la pratique, il y en a une quatrième de corrigée. Ou plutôt « recorrigée ». En l’occurrence, la CVE-2021-36958. L’Update Tuesday d’août était censé l’avoir éliminée. Des PoC ont donné preuve du contraire.

Plutôt que de mentionner cette vulnérabilité dans l’Update Tuesday de septembre, Microsoft a choisi de mettre à jour le bulletin du mois dernier.

Les ransomwares sont sur le coup

À quels risques la faille exposait-elle ? Dans les grandes lignes, à l’exécution distante de commandes avec des privilèges de niveau admin. Ce qui la différencie dans la famille PrintNightmare, c’est le vecteur d’attaque : la directive CopyFiles, détournée dans le cadre de la connexion à une imprimante dont le pilote est déjà installé. Des ransomwares comme Conti et Vice Society se sont engouffrés dans la brèche.

Le patch désactive CopyFiles par défaut. Et ajoute une stratégie de groupe – non documentée – qui permet de le réactiver, uniquement pour un usage avec une bibliothèque légitime (mscms.dll). Promesse : plus besoin des palliatifs conseillés jusqu’alors (couper le spouleur, bloquer le trafic RPC et SMB ou restreindre la fonction « Pointer et imprimer » à des serveurs approuvés).

Au-delà des promesses, il y a une réalité : celle de multiples admins qui constatent que l’Update Tuesday « casse » l’impression réseau. Pour le moment, pas de réaction publique de la part de Microsoft…

La 0-day MSHTML corrigé
L’Update Tuesday résorbe la faille CVE-2021-40444, activement exploitée (des PoC ont commencé à circuler après que Microsoft en eut révélé l’existence).

Le problème se trouve au niveau du moteur de rendu MSHTML. Plus précisément dans un contexte d’utilisation : au sein des logiciels de la suite Office, pour visualiser des documents avec contrôles ActiveX.

Dans l’absolu, la configuration par défaut de Word & cie. inclut une protection par défaut à l’ouverture de documents issus d’internet. Mais il y a des méthodes de contournement. En particulier, mettre les documents dans certains conteneurs de type ISO ou archive zip. Lorsqu’on les extrait, l’« attribut internet » disparaît. Ou l’utilisation de formats qui ne bénéficient pas du « mode protégé », comme le RTF.

Là aussi, on a vu des ransomwares exploiter cette faille. Par exemple pour distribuer l’exploit Cobalt Strike, puis éventuellement TrickBot et BazarLoader.

Illustration principale © jummie – Adobe Stock

Recent Posts

Atos x Airbus : les négociations pour le rachat de BDS sont rompues

Airbus renonce au rachat de l'activité Big Data & Security ( BDS) d’Atos. Un nouvel…

1 heure ago

Vanessa Cugniere, nouvelle Country Manager de OneTrust en France

OneTrust nomme Vanessa Cugniere au poste de Country Manager pour la France.

20 heures ago

Les recettes d’Apple pour entraîner des LLM multimodaux

Apple donne un aperçu supplémentaire de ses travaux LLM multimodaux avec un article consacré à…

20 heures ago

Luc Julia : « L’IA générative n’est pas une révolution des IA, mais une révolution des usages »

Pour Luc Julia, inventeur de Siri, l’essor des IA génératives n’est pas une révolution qui…

24 heures ago

Grok est-il vraiment un LLM « ouvert » ?

Un LLM dont on publie poids et code d'inférence est-il « open source » ?…

1 jour ago

Les 5 start-up retenues pour le programme PROQCIMA

Avec PROQCIMA, L'État vise le développement d'ordinateurs quantiques à destination des armées. Il a sollicité…

1 jour ago