PrintNightmare est le petit nom affublé à une vulnérabilité de sécurité critique autrement identifiée en tant que CVE-2021-34527. Dans le cadre d'une publication hors cycle (sans attendre l'Update Tuesday mensuel), Microsoft comble cette faille via une mise à jour de sécurité pour Windows.
Point notable, même les anciennes versions de Windows, comme par exemple Windows 7 dont le support a officiellement pris fin en janvier 2020, ont droit à un correctif. Cela est un indice de l'urgence de la situation.
Des correctifs pour Windows Server 2012, Windows Server 2016 et Windows 10 version 1607 manquent à l'appel, mais Microsoft indique que des mises à jour de sécurité idoines pour ces versions de Windows seront publiées prochainement.
La vulnérabilité est de type exécution de code à distance avec des privilèges de niveau système. Elle affecte le service Windows Print Spooler (le spouleur d'impression) qui est activé par défaut sur Windows et gère tout un ensemble d'aspects pour l'impression.
Le CERT-FR avait publié la semaine dernière un bulletin d'alerte en attirant en particulier l'attention sur une exposition des contrôleurs de domaine Active Directory. " Un attaquant ayant préalablement compromis un poste utilisateur pourra in fine obtenir les droits et privilèges de niveau administrateur de domaine Active Directory. "
Imbroglio au sein de la communauté de la sécurité
PrintNigthmare a fait grand bruit en raison d'un imbroglio. Fin juin, des chercheurs en sécurité chinois avaient publié une preuve de concept sur la manière d'exploiter la vulnérabilité et pour une exécution de code à distance. À tort, ils pensaient que le problème avait déjà été corrigé par Microsoft lors du Patch Tuesday de juin.
Microsoft a alerté sur le fait qu'il s'agissait d'une vulnérabilité 0day similaire mais différente de la vulnérabilité CVE-2021-1675 moins critique de type élévation de privilèges effectivement corrigée. Le groupe de Redmond avait toutefois relevé le niveau de dangerosité en évoquant une exécution de code à distance, ce qui a été source de confusion.
Si le code exploit de la preuve de concept pour PrintNightmare avait été rapidement retiré, c'était trop tard pour éviter une exploitation dans la nature.
