Microsoft a rencontré un autre problème dans ses efforts pour verrouiller le spouleur d’impression Windows, alors que le fabricant de logiciels a averti les clients jeudi de désactiver le service pour contenir une nouvelle vulnérabilité qui aide les attaquants à exécuter du code malveillant sur des machines entièrement corrigées.

La vulnérabilité est la troisième faille liée à l’imprimante dans Windows à être révélée au cours des cinq dernières semaines. Un correctif publié par Microsoft en juin pour une faille d’exécution de code à distance n’a pas réussi à corriger une faille similaire mais distincte appelée PrintNightmare, qui a également permis aux attaquants d’exécuter du code malveillant sur des machines entièrement corrigées. Microsoft a publié un correctif imprévu pour PrintNightmare, mais le correctif n’a pas réussi à empêcher les exploits sur les machines utilisant certaines configurations.

Apportez votre propre pilote d’imprimante

Jeudi, Microsoft a mis en garde contre une nouvelle vulnérabilité dans le spouleur d’impression Windows. La faille d’élévation des privilèges, identifiée comme CVE-2021-34481, permet aux pirates informatiques qui ont déjà la possibilité d’exécuter du code malveillant avec des droits système limités d’élever ces droits. L’élévation permet au code d’accéder à des parties sensibles de Windows afin que les logiciels malveillants puissent s’exécuter à chaque redémarrage d’une machine.

« Une vulnérabilité d’élévation des privilèges existe lorsque le service Windows Print Spooler exécute de manière incorrecte des opérations sur les fichiers privilégiés », a écrit Microsoft dans l’avis de jeudi. « Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d’utilisateur complets.

Microsoft a déclaré que l’attaquant doit d’abord avoir la capacité d’exécuter du code sur le système d’une victime. L’avis classe les exploits dans la nature comme « plus probables ». Microsoft continue de conseiller aux clients d’installer les mises à jour de sécurité publiées précédemment. Un spouleur d’impression est un logiciel qui gère l’envoi de travaux à l’imprimante en stockant temporairement des données dans une mémoire tampon et en traitant les travaux de manière séquentielle ou par priorité de travail.

« La solution de contournement pour cette vulnérabilité est d’arrêter et de désactiver le service Print Spooler », a déclaré l’avis de jeudi. Il fournit plusieurs méthodes que les clients peuvent utiliser pour le faire.

La vulnérabilité a été découverte par Jacob Baines, un chercheur en vulnérabilités de la société de sécurité Dragos. Baines doit donner une conférence intitulée « Bring Your Own Print Driver Vulnerability » lors de la convention des hackers Defcon du mois prochain. Le résumé de la présentation est :

Que pouvez-vous faire, en tant qu’attaquant, lorsque vous vous trouvez en tant qu’utilisateur Windows à faible privilège sans chemin vers SYSTEM ? Installez un pilote d’impression vulnérable ! Dans cette présentation, vous apprendrez à introduire des pilotes d’impression vulnérables dans un système entièrement corrigé. Ensuite, à l’aide de trois exemples, vous apprendrez à utiliser les pilotes vulnérables pour passer à SYSTEM.

Dans un e-mail, Baines a déclaré qu’il avait signalé la vulnérabilité à Microsoft en juin et qu’il ne savait pas pourquoi Microsoft avait publié l’avis maintenant.

« J’ai été surpris par l’avis car il était très abrupt et sans rapport avec la date limite que je leur ai donnée (7 août), et il n’a pas été publié avec un correctif », a-t-il écrit. « L’une de ces deux choses (divulgation publique du chercheur ou disponibilité d’un correctif) provoque généralement un avis public. Je ne sais pas ce qui les a motivés à publier l’avis sans correctif. C’est généralement contre l’objectif d’un programme de divulgation. Mais pour ma part, je n’ai pas divulgué publiquement les détails de la vulnérabilité et je ne le ferai pas avant le 7 août. Peut-être qu’ils ont vu les détails publiés ailleurs, mais pas moi. »

Microsoft a déclaré qu’il travaillait sur un correctif mais n’a pas fourni de calendrier pour sa sortie.

Baines a décrit la gravité de la vulnérabilité comme « moyenne ».

« Il a un score CVSSv3 de 7,8 (ou élevé), mais en fin de compte, il ne s’agit que d’une escalade de privilèges locaux », a-t-il expliqué. « À mon avis, la vulnérabilité elle-même a des propriétés intéressantes qui la rendent digne d’être discutée, mais de nouveaux problèmes d’escalade de privilèges locaux sont constamment détectés dans Windows. »