Microsoft en a-t-il fini avec PrintNightmare ? Avec l’Update Tuesday de septembre, il y a des avancées chez l’éditeur… mais aussi des régressions chez ses clients.
Officiellement, cette livraison mensuelle colmate un total de 86 failles. Parmi elles, trois que Microsoft a reconnu appartenir à la famille PrintNightmare (CVE-2021-38667, CVE-2021-38671 et CVE-2021-40447).
Dans la pratique, il y en a une quatrième de corrigée. Ou plutôt « recorrigée ». En l’occurrence, la CVE-2021-36958. L’Update Tuesday d’août était censé l’avoir éliminée. Des PoC ont donné preuve du contraire.
Plutôt que de mentionner cette vulnérabilité dans l’Update Tuesday de septembre, Microsoft a choisi de mettre à jour le bulletin du mois dernier.
À quels risques la faille exposait-elle ? Dans les grandes lignes, à l’exécution distante de commandes avec des privilèges de niveau admin. Ce qui la différencie dans la famille PrintNightmare, c’est le vecteur d’attaque : la directive CopyFiles, détournée dans le cadre de la connexion à une imprimante dont le pilote est déjà installé. Des ransomwares comme Conti et Vice Society se sont engouffrés dans la brèche.
Le patch désactive CopyFiles par défaut. Et ajoute une stratégie de groupe – non documentée – qui permet de le réactiver, uniquement pour un usage avec une bibliothèque légitime (mscms.dll). Promesse : plus besoin des palliatifs conseillés jusqu’alors (couper le spouleur, bloquer le trafic RPC et SMB ou restreindre la fonction « Pointer et imprimer » à des serveurs approuvés).
Au-delà des promesses, il y a une réalité : celle de multiples admins qui constatent que l’Update Tuesday « casse » l’impression réseau. Pour le moment, pas de réaction publique de la part de Microsoft…
| La 0-day MSHTML corrigé |
| L’Update Tuesday résorbe la faille CVE-2021-40444, activement exploitée (des PoC ont commencé à circuler après que Microsoft en eut révélé l’existence). Le problème se trouve au niveau du moteur de rendu MSHTML. Plus précisément dans un contexte d’utilisation : au sein des logiciels de la suite Office, pour visualiser des documents avec contrôles ActiveX. Dans l’absolu, la configuration par défaut de Word & cie. inclut une protection par défaut à l’ouverture de documents issus d’internet. Mais il y a des méthodes de contournement. En particulier, mettre les documents dans certains conteneurs de type ISO ou archive zip. Lorsqu’on les extrait, l’« attribut internet » disparaît. Ou l’utilisation de formats qui ne bénéficient pas du « mode protégé », comme le RTF. Là aussi, on a vu des ransomwares exploiter cette faille. Par exemple pour distribuer l’exploit Cobalt Strike, puis éventuellement TrickBot et BazarLoader. |
Illustration principale © jummie – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…