Vulnérabilité PrintNightmare : le correctif de Microsoft est disponible !
Microsoft vient de publier une mise à jour de sécurité pour protéger vos serveurs et vos machines contre la faille Zero Day nommée PrintNightmare et qui touche le service Spouleur d'impression de Windows.
Alors que certains d'entre vous ont peut-être cherché à appliquer les recommandations de l'ANSSI, que j'ai également détaillées dans mon article "Windows : comment se protéger de la vulnérabilité PrintNightmare ?", Microsoft a publié un correctif à installer directement sur vos machines.
En fonction des systèmes d'exploitation, le numéro de KB n'est pas le même. Voici la liste pour les différentes versions de Windows :
- Windows 10 version 21H1 (KB5004945)
- Windows 10 version 20H1 (KB5004945)
- Windows 10 version 2004 (KB5004945)
- Windows 10 version 1909 (KB5004946)
- Windows 10 version 1809 et Windows Server 2019 (KB5004947)
- Windows 10 version 1803 (KB5004949)
- Windows 10 version 1507 (KB5004950)
- Windows 8.1 et Windows Server 2012 R2 (patch mensuel : KB5004954 / mise à jour de sécurité seule : KB5004958)
- Windows 7 SP1 et Windows Server 2008 R2 SP1 (patch mensuel : KB5004953 / mise à jour de sécurité seule : KB5004951)
- Windows Server 2008 SP2 (patch mensuel : KB5004955 / mise à jour de sécurité seule : KB5004959)
On peut s'étonner de ne pas voir Windows Server 2016 dans la liste de correctifs : Microsoft a précisé que le correctif allait arriver rapidement pour cette version. Ce serait bien, car Windows Server 2016 est très utilisé en entreprise.
Les mises à jour sont dès à présent disponibles dans les canaux habituels : Windows Update, Microsoft Catalog et WSUS.
Malheureusement, ce correctif ne semble pas aussi efficace qu'il en a l'air ! Matthew Hickey, un chercheur en sécurité, a testé l'efficacité du correctif publié par Microsoft. Résultat : le correctif protège les machines contre la possibilité d'effectuer une exécution de code à distance, mais il ne semble pas efficace si l'attaquant cherche à effectuer une élévation de privilèges en local. Malgré l'installation du correctif, il a pu utiliser le PoC de @HackerFantastic.
The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector - however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). 🤦♂️ https://t.co/PRO3p99CFo
— Hacker Fantastic (@hackerfantastic) July 6, 2021
Dans tous les cas, il est recommandé d'installer le correctif dès à présent. Par ailleurs, pensez à désactiver le Spouleur d'impression sur vos contrôleurs de domaine : c'est une bonne pratique. 😉
Bonjour,
Sur le bulletin de sécurité de Microsoft, les correctifs KB5004958 et KB5004954 s’appliquent sur Windows Server 2012 R2 et non sur Windows Server 2012.
Johann
Merci Johann d’avoir relevé la coquille 🙂
Bonjour,
Le KB5004951 est bien présent sur mon WSUS, mais n’ayant pas pris l’extension payante pour le serveur 2008 R2, le patch ne s’installe pas. Y a t’il une méthode pour le déployer avec WSUS et faut il l’installer à la main sur chaque serveur ?
Nicolas