PrintNightmare : Microsoft n’en est pas encore sorti

PrintNightmare Microsoft Update Tuesday

L’Update Tuesday de septembre comprend une nouvelle livrée de correctifs pour les failles PrintNightmare… et son lot d’effets indésirables.

Microsoft en a-t-il fini avec PrintNightmare ? Avec l’Update Tuesday de septembre, il y a des avancées chez l’éditeur… mais aussi des régressions chez ses clients.

Officiellement, cette livraison mensuelle colmate un total de 86 failles. Parmi elles, trois que Microsoft a reconnu appartenir à la famille PrintNightmare (CVE-2021-38667, CVE-2021-38671 et CVE-2021-40447).

Dans la pratique, il y en a une quatrième de corrigée. Ou plutôt « recorrigée ». En l’occurrence, la CVE-2021-36958. L’Update Tuesday d’août était censé l’avoir éliminée. Des PoC ont donné preuve du contraire.

Plutôt que de mentionner cette vulnérabilité dans l'Update Tuesday de septembre, Microsoft a choisi de mettre à jour le bulletin du mois dernier.

Les ransomwares sont sur le coup

À quels risques la faille exposait-elle ? Dans les grandes lignes, à l'exécution distante de commandes avec des privilèges de niveau admin. Ce qui la différencie dans la famille PrintNightmare, c'est le vecteur d'attaque : la directive CopyFiles, détournée dans le cadre de la connexion à une imprimante dont le pilote est déjà installé. Des ransomwares comme Conti et Vice Society se sont engouffrés dans la brèche.

Le patch désactive CopyFiles par défaut. Et ajoute une stratégie de groupe - non documentée - qui permet de le réactiver, uniquement pour un usage avec une bibliothèque légitime (mscms.dll). Promesse : plus besoin des palliatifs conseillés jusqu'alors (couper le spouleur, bloquer le trafic RPC et SMB ou restreindre la fonction « Pointer et imprimer » à des serveurs approuvés).

Au-delà des promesses, il y a une réalité : celle de multiples admins qui constatent que l'Update Tuesday « casse » l'impression réseau. Pour le moment, pas de réaction publique de la part de Microsoft...

La 0-day MSHTML corrigé
L'Update Tuesday résorbe la faille CVE-2021-40444, activement exploitée (des PoC ont commencé à circuler après que Microsoft en eut révélé l'existence).

Le problème se trouve au niveau du moteur de rendu MSHTML. Plus précisément dans un contexte d'utilisation : au sein des logiciels de la suite Office, pour visualiser des documents avec contrôles ActiveX.

Dans l'absolu, la configuration par défaut de Word & cie. inclut une protection par défaut à l'ouverture de documents issus d'internet. Mais il y a des méthodes de contournement. En particulier, mettre les documents dans certains conteneurs de type ISO ou archive zip. Lorsqu'on les extrait, l'« attribut internet » disparaît. Ou l'utilisation de formats qui ne bénéficient pas du « mode protégé », comme le RTF.

Là aussi, on a vu des ransomwares exploiter cette faille. Par exemple pour distribuer l'exploit Cobalt Strike, puis éventuellement TrickBot et BazarLoader.

Illustration principale © jummie - Adobe Stock