C’était la bonne nouvelle du 6 juillet : Microsoft a publié un patch en urgence pour enfin réparer la faille PrintNightmare, qui occupait les équipes de cybersécurité depuis une semaine. Cette vulnérabilité, présente sur pratiquement l’intégralité des systèmes Windows, permet à un attaquant extérieur d’exécuter du code sur les systèmes de la victime — c’est pourquoi on la qualifie de RCE (remote code execution) dans le jargon. Concrètement, PrintNightmare permet à un hacker de s’infiltrer sur un système vulnérable, et de remonter jusqu’à l’Active Directory, l’équivalent de la tour de contrôle des réseaux Windows.
Après la publication du patch, ce cauchemar semblait derrière les équipes de sécurité. Problème : dès le lendemain, plusieurs chercheurs, dont le français Benjamin Delpy (créateur de l’outil d’attaque Mimikatz) ont trouvé une méthode pour contourner le correctif. Grossièrement, elle consiste à utiliser un autre standard d’appellation que celui utilisé par le patch, l’Universal Naming Convention (UNC), pour quand même accéder aux fichiers que le correctif doit protéger. À The Register, Benjamin Delpy a expliqué qu’il trouvait que le problème était « bizarre venant de Microsoft », et il suggère même « qu’ils n’ont pas vraiment testé » le patch.
Pas de patch, pas d’impression
Si Microsoft galère autant dans sa gestion de la vulnérabilité, c’est aussi parce qu’il a été pris de court. La méthode d’exploitation de PrintNightmare a été publiée par un trio de chercheurs de Sangfor, qui avait peur de se faire griller l’exclusivité sur leur découverte. Même s’ils ont rapidement reconnu leur erreur et retiré la publication, leur outil était déjà dans la nature, et désormais, n’importe qui peut s’en saisir.
En attendant que Microsoft corrige son correctif pour PrintNightmare, les entreprises n’ont d’autres choix que d’appliquer un ensemble de mesures plus ou moins dérangeantes pour leur fonctionnement. La plus radicale d’entre elles consiste à désactiver le « spouler d’impression » (le programme de Windows visé par l’attaque). Activé par défaut sur toutes les versions du logiciel, il a en charge tout le processus d’impression (d’où son nom) papier, mais aussi de certaines fonctionnalités comme la conversion en fichier PDF. Autrement dit, des entreprises entières ne peuvent plus imprimer : il y a pire, mais c’est un vrai problème.
Et si les défenseurs oublient de désactiver le spouleur sur un de leurs systèmes Windows exposés à internet, ils s’exposent à une attaque d’ampleur. Désormais, à Microsoft de réagir : son patch day, le rendez-vous mensuel où l’éditeur publie tous ses correctifs, arrive le 12 juillet, et serait la bonne occasion de mettre fin à PrintNightmare.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.