PrintNightmare : le « demi-correctif » de Microsoft

En aura-t-on bientôt fini avec PrintNightmare ? Voilà un peu plus d'une semaine qu'on a connaissance de cette faille. Localisée dans le spouleur d'impression de Windows, elle met en danger jusqu'aux contrôleurs de domaines Active Directory.

Microsoft a fini par publier un correctif. Mais ce n'est pas la panacée. En tout cas, des PoC lui résistent, au moins en partie. Certains sur le volet élévation de privilèges. D'autres sur l'exécution de code à distance. Voire sur les deux.

Microsoft has released updates to protect against CVE-2021-34527. Please see: https://t.co/QZATXCPXnx

- Security Response (@msftsecresponse) July 6, 2021

Dans certaines configurations, le patch ne semble tout simplement pas fonctionner.

One more fun finding, if you're the type of person to disable UAC completely (not just turning off the prompting, but totally disabled) then the « fix » also breaks. Perhaps this is why some people see it working on their test machines?

- James Forshaw (@tiraniddo) July 2, 2021

Autre constat : RpcAddPrinterDriverEx() (ajout de pilotes d'impression) n'est pas la seule fonction vulnérable. RpcEnumPrinterDrivers (listage des pilotes) peut aussi permettre l'exécution d'une charge malveillante.

PrintConfig.dll works. The DLL is loaded by spoolsv.exe on unprivileged operations such as RpcEnumPrinterDrivers.

- Jonas Vestberg (@bugch3ck) July 7, 2021

PrintNightmare : des portes restent ouvertes

Utiliser le protocole MS-PAR plutôt que MS-RPRN semble aussi mettre à mal le correctif. En particulier le blocage de l'élévation de privilèges.

And based on testing of the first VM of mine that completed the install of the update (Windows 8.1), it looks like it works against both the SMB and the RPC variants in the @cube0x0 github repo. I don't think that LPE is fixed, though. @hackerfantastic 's PoC still works.
😕 pic.twitter.com/tDQpagUTRf

- Will Dormann (@wdormann) July 6, 2021

Du côté des PoC qui restaurent l'exécution de code à distance, on s'appuie notamment sur la fonction Point and Print. Laquelle permet à un client de récupérer automatiquement les informations de configuration d'une imprimante distante.

Ho no... thanks to @bugch3ck idea about UNC path, KB5005010 "fix" about #printernightmare does not seems to block RCE (neither LPE) if Point&Print enabled ...

Time to play with #mimikatz 🥝🤪 https://t.co/8lEV7aG9AZ pic.twitter.com/wNt6lQF6Iy

- 🥝 Benjamin Delpy (@gentilkiwi) July 7, 2021

Le correctif a une compatibilité descendante jusqu'à Windows 7 SP1 et Server 2008 SP2. Avec lui :

• Seuls les administrateurs peuvent installer des pilotes d'impression signés
• La délégation des autorisations - notamment au travers du groupe opérateur d'impression - n'est plus prise en charge ; les utilisateurs sont soit admins, soit non admins
• Côté client, en cas de tentative d'installation de pilote non signé, affichage d'un avertissement et demande d'identification admin. En revanche, si un pilote est signé, il s'installe, peu importe le paramétrage de la valeur de registre RestrictDriverInstallationToAdministrators.

Illustration principale © A Stockphoto - Adobe Stock