Pour Microsoft, le dernier Patch Tuesday ne s’est pas tout à fait déroulé comme prévu. Parmi les différents correctifs embarqués par l’édition de ce mois-ci se trouvait un correctif pour une faille affectant le “spouleur d’impression” des différents systèmes Windows.
Ce terme désigne l’utilitaire Windows chargé de gérer l’ensemble des tâches liées à l’impression sur les systèmes Windows. Celui-ci contenait une faille de sécurité, identifiée CVE-2021-1675, que Microsoft n’a pas qualifiée de critique. Néanmoins, l’éditeur l’a quand même corrigée dans son bulletin mensuel de correctifs de sécurité.
Microsoft considérait alors que la faille en question permettait une simple élévation de privilège pour un attaquant bénéficiant d’un accès local à l’appareil vulnérable. Ce qui a valu à la vulnérabilité d’écoper d’un score CVSS de 7,8, la classant parmi les vulnérabilités à gravité modérée.
Mais mardi, des chercheurs ont publié sur Github une première preuve de concept montrant que la faille était en réalité plus inquiétante que prévu : cette nouvelle exploitation de la faille pouvait cette fois se faire à distance, et permettre « une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM » comme le souligne le CERT-Fr dans son alerte. La vulnérabilité devient donc bien plus sérieuse : comme le note l’alerte du CERT-Fr, le spouleur Windows « est activé sur les contrôles de domaine Active Directory. Un attaquant ayant préalablement compromis un poste utilisateur pourra in fine obtenir les droits et privilèges de l’administrateur de domaine Active Directory ».
La preuve de concept a rapidement disparu de Github, mais plusieurs autres comptes ont eu le temps de récupérer le code d’exploitation et de le re-partager. Pour l’instant, le patch diffusé par Microsoft en début de mois est incomplet et ne suffit pas à combler complètement la faille de sécurité : plusieurs chercheurs en sécurité ont montré au cours des deux derniers jours qu’il était tout à fait possible d’exploiter la vulnérabilité sur un système à jour.
Microsoft devra donc probablement publier un nouveau patch afin de corriger entièrement la faille de sécurité. Mais pour l’instant, la société n’a pas encore communiqué à ce sujet. Pour s’en prémunir, le CERT-Fr recommande aux administrateurs de désactiver complètement le spouleur d’impression sur les contrôleurs de domaines, « ainsi que sur toute autre machine sur lequel ce service n’est pas nécessaire, particulièrement pour des machines hébergeant des services privilégiés sur l’Active Directory », et de rester attentif afin de détecter d’éventuelles exploitations de cette vulnérabilité. Au sein de la communauté de la sécurité informatique, la faille a écopé du surnom de PrintNightmare (Cauchemar d’impression).
