Mise à jour du 8 juillet :
Le patch ne fonctionne pas comme prévu, au point qu’il est pratiquement inutile en attendant d’éventuelles modifications.
Article original du 7 juillet :
Le 29 juin, trois chercheurs de l’entreprise Sangfor ont fait l’erreur de lâcher dans la nature leur méthode pour exploiter une faille qu’ils ont eux-mêmes nommée PrintNightmare. Ils ont retiré leur documentation d’Internet dans les heures suivantes, mais le mal était déjà fait. Dès les jours suivants, des individus malveillants ont commencé à profiter de cette vulnérabilité présente sur le spouleur d’impression, un programme activé par défaut dans l’intégralité des systèmes Windows, chargé de traduire les commandes des utilisateurs aux imprimantes.
Cette vulnérabilité se range la catégorie des RCE, c’est-à-dire qu’elle permet à un hacker extérieur d’exécuter du code sur la machine de la victime. Dans ce cas, elle permettait même de remonter à l’Active Directory, sorte de tour de contrôle des réseaux Windows. Autrement dit : des millions de machines étaient vulnérables à une faille dangereuse.
Dans un premier temps, Microsoft et plusieurs entreprises privées ont déployé des mesures de « mitigation » destinées à empêcher l’exploitation de la faille. La plus radicale d’entre elles ? Désactiver le spouleur… ce qui empêche tous les utilisateurs du réseau d’imprimer leurs documents.
Ces mesures de mitigation n’avaient que vocation à limiter les dégâts en attendant le déploiement d’un correctif de la part de Microsoft. L’éditeur a finalement réussi à le publier, plus d’une semaine plus tard, le 6 juillet. Il l’a déployé en urgence puisque le « patch Tuesday » lors duquel l’éditeur regroupe tous ses correctifs n’arrivera que le 12 juillet.
Une faille à moitié réparée
Déployé le plus vite possible, le patch est imparfait, comme l’a relevé le Bleeping Computer. Il couvre la grande majorité des versions de Windows mais n’est pas disponible — temporairement — pour quelques-unes, comme Windows Server 2016.
Ensuite, si le correctif empêche l’utilisation de la RCE, il ne répare pas un autre bug inclus dans le PrintNightmare, une LPE (pour « local privilege escalation »). Cette vulnérabilité annexe permet à un membre du réseau de gagner des droits d’administrateur sur le système, et donc d’accéder à des documents qu’il ne devrait pas voir ou de faire des modifications imprévues. Bien que problématique la LPE est bien moins dangereuse que la RCE, puisqu’elle doit être lancée depuis l’intérieur de l’organisation, ce qui limite son exploitation à des scénarios d’attaque plus élaborés.
Maintenant, c’est aux entreprises de gérer la transition entre la mitigation et le patch de Printnightmare. Mais comme toutes les failles, elle devrait continuer à exister pendant de nombreuses années, la faute à de nombreux systèmes pas à jour.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !