Microsoft a publié mercredi une mise à jour d'urgence pour combler une vulnérabilité dans le service Windows Print Spooler qui est activement exploitée dans la nature. Baptisée PrintNightmare, cette faille de sécurité de type zéro day affecte toutes les versions du système d'exploitation Microsoft Windows, jusqu'à Windows 7.
Répertorié sous le nom de CVE-2021-34527, le bogue d'exécution de code à distance est classé comme très grave et obtient un score de 8,2 sur 10 sur l'échelle CVSS (Common Vulnerability Scoring System). La faille de sécurité a été jugée si grave que Microsoft a décidé d'émettre un correctif hors bande, au lieu de publier le correctif dans le cadre de son lot habituel de Patch Tuesday, qui est prévu pour la semaine prochaine.
« Une vulnérabilité d'exécution de code à distance existe lorsque le service Windows Print Spooler effectue incorrectement des opérations de fichier privilégiées. Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes, visualiser, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d'utilisateur », explique la description du bogue rédigée par Microsoft.
La mise à jour la plus récente a été diffusée pour corriger les versions de Windows qui n'ont pas été abordées dans la précédente mise à jour de sécurité hors bande publiée le 6 juillet, à savoir Windows Server 2012, Windows Server 2016 et Windows 10, version 1607.
Cependant, certains chercheurs ont rapidement soulignéque le patch ne répond pas à toute l'étendue de la vulnérabilité. En effet, le géant technologique de Redmond a également souligné que dans certaines circonstances, les systèmes seront toujours vulnérables : « Avoir NoWarningNoElevationOnInstall réglé sur 1 rend votre système vulnérable par conception ». Cependant, il a également publié des solutions de contournement à ce problème.
La première solution consiste à désactiver le service Print Spooler, ce qui empêchera les utilisateurs d'imprimer localement et à distance. La deuxième solution demande aux administrateurs et aux utilisateurs de désactiver l'impression à distance entrante par le biais de la stratégie de groupe. Cela bloquera les attaques à distance puisqu'il empêche les opérations d'impression à distance entrantes, mais le système cessera de fonctionner comme un serveur d'impression. L'impression via des périphériques directement connectés sera toujours possible.
La vulnérabilité remonte à la fin du mois de juin, lorsqu'un groupe de chercheurs en sécurité a publié un exploit de type preuve du concept, croyant à tort que le problème avait été résolu. La confusion provenait d'une vulnérabilité similaire (CVE-2021-1675) qui affecte également le service Print Spooler.
Les administrateurs et les utilisateurs qui n'ont pas encore appliqué de correctifs à leurs systèmes feraient bien de le faire immédiatement. Les mises à jour peuvent être trouvées sur tous les canaux de diffusion habituels tels que Windows Update, Microsoft Update Catalog et Windows Server Update Services.