Il ne s’agit pas encore du Patch Tuesday, mais Microsoft a publié plusieurs correctifs en urgence. Le 1er juillet dernier, l’éditeur colmatait une brèche un bug PDF dans Windows 10. Aujourd’hui, c’est au tour de la vulnérabilité critique dans Windows Print Spooler, baptisée PrintNightmare d’avoir son correctif.
La mise à jour de sécurité KB5004945 (et ses déclinaisons) vise à corriger une faille de type zero day ( CVE-2021-34527), activement exploitée. Elle touche l’ensemble des versions de Windows. Pour mémoire, une première faille touchant Windows Print Spooler avait été corrigée lors du Patch Tuesday de juin. Mais un PoC (proof of concept) d'exploit a circulé sur Github permettant cette fois l'exécution de code distant. Les attaquants peuvent ainsi prendre le contrôle de serveurs avec des privilèges administrateur et installer des programmes, modifier ou supprimer des données, ainsi que créer des nouveaux comptes avec tous les droits.
Une mise à jour cantonnée à l’exploitation à distance
La vulnérabilité PrintNightmare comprend à la fois un vecteur d'exécution de code à distance (RCE) et un vecteur d'élévation de privilèges au niveau local (LPE). Après la publication par Microsoft de la mise à jour en urgence, un chercheur en sécurité, Matthew Hickey, a constaté que le patch ne corrigeait que la partie RCE et non le vecteur LPE.
Cela signifie que la protection est incomplète et que les attaquants peuvent toujours profiter de la faille pour obtenir des privilèges admin. Néanmoins, Microsoft recommande vivement aux clients d'installer immédiatement ces mises à jour (récapitulatif ci-dessous).
- Windows 10, version 21H1 (KB5004945) ;
- Windows 10, version 20H1 (KB5004945) ;
- Windows 10, version 2004 (KB5004945) ;
- Windows 10, version 1909 (KB5004946) ;
- Windows 10, version 1809 et Windows Server 2019 (KB5004947) ;
- Windows 10, version 1803 (KB5004949) [Non disponible pour le moment] ;
- Windows 10, version 1507 (KB5004950) ;
- Windows 8.1 et Windows Server 2012 (Monthly Rollup KB5004954 / Security only KB5004958) ;
- Windows 7 SP1 et Windows Server 2008 R2 SP1 (Monthly Rollup KB5004953 / Security only KB5004951) ;
- Windows Server 2008 SP2 (Monthly Rollup KB5004955 / Sécurité uniquement KB5004959).
Les mises à jour de sécurité n'ont pas encore été publiées pour Windows 10 version 1607, Windows Server 2016 ou Windows Server 2012, mais elles seront également publiées prochainement, selon Microsoft.
Des mesures d'atténuation sont également disponibles
Ceux qui ne peuvent pas installer ces mises à jour dès que possible doivent consulter les sections FAQ et Solution de contournement de l'avis de sécurité CVE-2021-34527 pour savoir comment protéger leurs systèmes.
Des options d'atténuation disponibles comprennent la désactivation du service Print Spooler pour supprimer la possibilité d'impression locale et à distance ou la désactivation de la politique de groupe en matière d’impression à distance. Dans le second cas, Microsoft indique que « le système ne fonctionnera plus comme un serveur d'impression, mais l'impression locale vers un périphérique directement connecté sera toujours possible. » La semaine dernière, la CISA avait demandé aux administrateurs de désactiver le service Windows Print Spooler.