PrintNightmare : le correctif de Microsoft serait inefficace !
Le correctif de Microsoft pour se protéger de la faille PrintNightmare aurait-il été publié un peu trop rapidement ? Visiblement oui, car il serait complètement bypassable...
Pour rappel, la vulnérabilité PrintNightmare touche le service Spouleur d'impression de Microsoft, aussi bien sur Windows (Desktop) que sur Windows Server.
Si vous pensiez pouvoir vous débarrasser de cette faille de sécurité grâce à l'installation du correctif de sécurité de Microsoft, c'est raté !
Dans un premier temps, la vulnérabilité semblait exploitable seulement en local (élévation de privilèges) suite à l'installation du patch. Matthew Hickey, un chercheur en sécurité, a testé l'efficacité du correctif publié par Microsoft. Résultat : le correctif protège les machines contre la possibilité d'effectuer une exécution de code à distance, mais il ne semble pas efficace si l'attaquant cherche à effectuer une élévation de privilèges en local.
Sauf qu'ensuite, d'autres PoC ont vu le jour et il serait toujours possible d'exploiter la faille à distance ! En effet, l'expert en sécurité Benjamin Delpy a montré qu'il était possible d'exploiter la vulnérabilité même si la machine était patchée. Un exploit est même disponible au sein de l'outil Mimikatz.
Dealing with strings & filenames is hard😉
New function in #mimikatz 🥝to normalize filenames (bypassing checks by using UNC instead of \\server\share format)So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— 🥝 Benjamin Delpy (@gentilkiwi) July 7, 2021
Pourtant Microsoft continue de croire en son correctif, puisqu'une KB pour Windows Server 2016 a été publiée hier. Pour rappel, voici la liste des KB publiées par Microsoft pour combler la faille PrintNightmare :
- Windows 10 version 21H1 (KB5004945)
- Windows 10 version 20H1 (KB5004945)
- Windows 10 version 2004 (KB5004945)
- Windows 10 version 1909 (KB5004946)
- Windows 10 version 1809 et Windows Server 2019 (KB5004947)
- Windows 10 version 1803 (KB5004949)
- Windows 10 version 1507 (KB5004950)
- Windows 10 version 1607 et Windows Server 2016 (KB5004948)
- Windows 8.1 et Windows Server 2012 R2 (patch mensuel : KB5004954 / mise à jour de sécurité seule : KB5004958)
- Windows 7 SP1 et Windows Server 2008 R2 SP1 (patch mensuel : KB5004953 / mise à jour de sécurité seule : KB5004951)
- Windows Server 2008 SP2 (patch mensuel : KB5004955 / mise à jour de sécurité seule : KB5004959)
En complément de l'installation du patch, Microsoft précise que les clés de registre correspondantes à "Pointer et imprimer" doivent être définies à 0 (ou non définies). Ce qui donne :
- Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- Valeur : NoWarningNoElevationOnInstall = 0 (DWORD)
- Valeur : NoWarningNoElevationOnUpdate = 0 (DWORD)
Will Dormann, du CERT/CC, a précisé que même avec ces clés de registre et l'installation du correctif, la faille reste exploitable à distance. Ce qui est sûr, c'est que Will Dormann et Benjamin Delpy semblent sur la même longueur d'onde. Attendons maintenant la réponse de Microsoft.
Puisque le correctif semble inefficace, je vous recommande d'appliquer les recommandations de l'ANSSI, que j'ai également détaillées dans mon article "Windows : comment se protéger de la vulnérabilité PrintNightmare ?". En attendant un nouveau patch de Microsoft ? Surement.
Merci Florian,
J’ai lu sur génération NT qu’apparement il y a des soucis avec le patch
https://www.generation-nt.com/printnightmare-patch-correctif-microsoft-probleme-actualite-1990196.html