En l’espace de deux mois, sept failles ont été découvertes dans le spouleur d’impression du système d’exploitation de Microsoft, pour le plus grand bonheur des hackers, et notamment ceux spécialisés dans le ransomware.
Les failles PrintNightmare portent bien leur nom. Cet ensemble de vulnérabilités trouvées durant ces deux derniers mois dans les spouleurs d’impression de Windows est en train de tourner au cauchemar. Depuis quelques jours, les révélations se succèdent quant à leur utilisation par des groupes de pirates pour attaquer des entreprises. Elles sont désormais utilisées par le ransomware Magniber (source Crowdstrike), par le ransomware Vice Society (source Cisco Talos), par la porte dérobée Bazar Loader (source Unit42) et le cheval de Troie Purple Fox (source Cybereason).
Les failles PrintNightmare peuvent être utilisées pour des élévations de privilèges ou des exécutions de code à distance. Depuis début juin, sept failles ont été révélées, affectant toutes le spouleur d’impression (CVE-2021-1675, CVE-2021-34527, CVE-2021-34481, CVE-2021-36936, CVE-2021-36947, CVE-2021-34483, CVE-2021-36958).
Toutes les failles ont été patchées sauf la dernière, qui date du 11 août. « Microsoft indique que cette vulnérabilité permet une exécution de code arbitraire à distance. Le CERT/CC ajoute qu’en se connectant à une imprimante malveillante, l’attaquant peut exécuter du code arbitraire avec les privilèges SYSTEM. Aucun correctif n’est disponible pour l’instant. Microsoft conseille donc de désactiver le service », peut-on lire dans le bulletin d’alerte du CERT-FR sur les failles PrintNightmare. Compte tenu des découvertes à répétition, ce document commence à être particulièrement long et raturé. Il faut espérer que ce cauchemar s’arrêtera bientôt et qu’il n’y aura pas d’autres mauvaises surprises dans ce spouleur d’impression.
source: 01net