C'est assez exceptionnel pour ne pas en parler. Microsoft vient en effet de diffuser sur Windows Update une mise à jour de sécurité pour les systèmes Windows en dehors du traditionnel Patch Tuesday ce que l'éditeur qualifie d'Out-of-band. La faille de sécurité CVE-2021-34527 aussi appelée PrintNightmare a en effet été identifiée au mois de juin et s'est vue attribuée un score CVSS de base de 8,8 ce qui en fait une vulnérabilité considérée comme particulièrement critique.
D'après Microsoft, c'est plus exactement le service Spouleur d'impression (Print Spooler) de Windows 7/8/8.1/10 ainsi que de Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 qui est affecté par cette faille ce qui permet à un assaillant d'exécuter du code arbitraire à distance sur la machine visée en bénéficiant des privilèges du groupe Système. Cela permettrait d'installer des programmes, d'afficher, de modifier ou de supprimer des données ou encore créer des comptes dotés de tous les privilèges. Bref, une faille bien critique d'autant plus qu'un exploit serait déjà utilisé !
Le patch proposé hier par Microsoft corrige donc la vulnérabilité PrintNightmare (CVE-2021-34527) qui affecte la fonction RpcAddPrinterDriverEx(), fonction qui avait d'ailleurs déjà fait l'objet au mois de juin d'une mise à jour de sécurité pour résoudre une vulnérabilité similaire, la CVE-2021-1675. Cette fonction permet d'ajouter un pilote d'imprimante sur un serveur d'impression qui est ensuite utilisable par les clients qui souhaitent utiliser l'imprimante correspondante. Grâce au patch proposé par Microsoft, les utilisateurs non administrateurs ne peuvent plus installer que des pilotes signés sur le serveur d'impression ce qui devrait éviter l'installation de logiciels potentiellement compromis par du code exploitant cette faille même si comme Microsoft l'a reconnu dernièrement, des drivers malveillants ont récemment déjoué la vigilance de Microsoft et ont été signés sur la plateforme Windows Hardware Compatibility Program (WHCP). Les administrateurs gardent, eux, la possibilité d'installer des pilotes signés ou non signés à leurs risques et périls.
A noter qu'une nouvelle valeur dans la base de registre permet d'aller encore plus loin que le patch et de bloquer également l'installation de pilotes signés pour les personnes non administrateurs. Cette valeur RestrictDriverInstallationToAdministrators est disponible à la clé HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint et son fonctionnement détaillé dans l'article KB5005010 de la base de connaissances Microsoft.
Microsoft recommande à tous les utilisateurs d'installer dès que possible cette mise à jour July 2021 Out-of-band aussi bien sur les PC clients que sur les serveurs. A défaut, Microsoft conseille de désactiver le service système Spouleur d'impression ce qui empêche bien sûr d'imprimer quoi que ce soit en local ou à distance.
Cumulative Update de juillet 2021 (2021-07)
Security Monthly Quality Rollup de juillet 2021 (2021-07)
Security Only Quality Update de juillet 2021 (2021-07)
Les patchs pour Windows Server 2012, Windows Server 2016 et Windows 10 1607 ne sont pas encore disponibles mais devraient sortir dans les prochains jours.
Mise à jour du 08/07/2021
Les patchs pour la vulnérabilité PrintNightmare et les systèmes Windows Server 2012, Windows Server 2016 et Windows 10 1607 sont finalement disponibles et ont été ajoutés ci-dessus.
|
Modérateur TLD
|
|