Pour gérer vos consentements :
Categories: Sécurité

PrintNightmare : Microsoft n’en est pas encore sorti

Microsoft en a-t-il fini avec PrintNightmare ? Avec l’Update Tuesday de septembre, il y a des avancées chez l’éditeur… mais aussi des régressions chez ses clients.

Officiellement, cette livraison mensuelle colmate un total de 86 failles. Parmi elles, trois que Microsoft a reconnu appartenir à la famille PrintNightmare (CVE-2021-38667, CVE-2021-38671 et CVE-2021-40447).

Dans la pratique, il y en a une quatrième de corrigée. Ou plutôt « recorrigée ». En l’occurrence, la CVE-2021-36958. L’Update Tuesday d’août était censé l’avoir éliminée. Des PoC ont donné preuve du contraire.

Plutôt que de mentionner cette vulnérabilité dans l’Update Tuesday de septembre, Microsoft a choisi de mettre à jour le bulletin du mois dernier.

Les ransomwares sont sur le coup

À quels risques la faille exposait-elle ? Dans les grandes lignes, à l’exécution distante de commandes avec des privilèges de niveau admin. Ce qui la différencie dans la famille PrintNightmare, c’est le vecteur d’attaque : la directive CopyFiles, détournée dans le cadre de la connexion à une imprimante dont le pilote est déjà installé. Des ransomwares comme Conti et Vice Society se sont engouffrés dans la brèche.

Le patch désactive CopyFiles par défaut. Et ajoute une stratégie de groupe – non documentée – qui permet de le réactiver, uniquement pour un usage avec une bibliothèque légitime (mscms.dll). Promesse : plus besoin des palliatifs conseillés jusqu’alors (couper le spouleur, bloquer le trafic RPC et SMB ou restreindre la fonction « Pointer et imprimer » à des serveurs approuvés).

Au-delà des promesses, il y a une réalité : celle de multiples admins qui constatent que l’Update Tuesday « casse » l’impression réseau. Pour le moment, pas de réaction publique de la part de Microsoft…

La 0-day MSHTML corrigé
L’Update Tuesday résorbe la faille CVE-2021-40444, activement exploitée (des PoC ont commencé à circuler après que Microsoft en eut révélé l’existence).

Le problème se trouve au niveau du moteur de rendu MSHTML. Plus précisément dans un contexte d’utilisation : au sein des logiciels de la suite Office, pour visualiser des documents avec contrôles ActiveX.

Dans l’absolu, la configuration par défaut de Word & cie. inclut une protection par défaut à l’ouverture de documents issus d’internet. Mais il y a des méthodes de contournement. En particulier, mettre les documents dans certains conteneurs de type ISO ou archive zip. Lorsqu’on les extrait, l’« attribut internet » disparaît. Ou l’utilisation de formats qui ne bénéficient pas du « mode protégé », comme le RTF.

Là aussi, on a vu des ransomwares exploiter cette faille. Par exemple pour distribuer l’exploit Cobalt Strike, puis éventuellement TrickBot et BazarLoader.

Illustration principale © jummie – Adobe Stock

Recent Posts

Visual Studio Code : une version web made in Microsoft

Après github.dev en août, Microsoft ouvre vscode.dev. Comment se présente cette version web de l'éditeur…

45 minutes ago

Qualité des applications : comment l’automatisation change la donne

La multiplication des développements impacte les tests et l'assurance qualité des applications. La DSI bascule…

3 jours ago

Sécurité applicative : qui sont les principaux fournisseurs ?

Qui sont les têtes d'affiche de la sécurité applicative (AST) et comment se présente le…

3 jours ago

Manager IT 2021 : Quentin Le Brouster, CTO et co-fondateur de Back Market

A l'issue du vote des lecteurs de Silicon et de la communauté des professionnels de…

3 jours ago

Mots de passe : ce que la Cnil recommande en 2021

La Cnil se prépare à actualiser ses recommandations sur les mots de passe édictées en…

3 jours ago

Google découple les profils pros d’Android Enterprise

Les profils Android for Work vont s'étendre au-delà des appareils d'entreprise. Première étape début 2022.

3 jours ago