Le Windows Print Spooler fait une nouvelle fois des siennes ! La firme de Redmond alerte ses utilisateurs : toutes les versions de son système d'exploitation pourraient être touchées par cette nouvelle faille.
D'abord à l'origine de nombreux problèmes d'utilisation des ressources sur Windows, le Print Spooler s'est surtout fait connaître pour avoir servi de de porte dérobée au virus Stuxnet lors de l'attaque sur les centrifugeuses nucléaires iraniennes en 2010.
Un exploit zero day qui devait être dévoilé lors du Black Hat USA 2021
La faille, nommée « PrintNightmare », a été présentée plus tôt cette semaine en amont de l'événement Black Hat USA 2021. Les développeurs à l'origine du Proof-of-Concept, le code permettant l'exploitation de la faille, l'ont rendu disponible sur GitHub avant de le dépublier. Une erreur de communication entre les chercheurs à l'origine de la découverte et Microsoft aurait mené à une publication hâtive du PoC. L'entreprise n'avait en effet toujours pas patché la faille qui devait être détaillée ce 31 juillet.
La menace est de taille pour les utilisateurs : une attaque utilisant PrintNightmare peut exécuter du code à distance avec les mêmes droits qu'un administrateur.
Une menace qui pèse sur les serveurs Windows
Pour l'heure, il est impossible de dire si PrintNightmare a fait beaucoup de dégâts, mais Microsoft travaille déjà sur un patch et recommande aux entreprises pouvant être affectées de désactiver le spouleur d'impression directement sur le système de chaque machine ou à l'aide des paramètres de stratégie de sécurité. La CISA (Cybersecurity and Infrastructure Security Agency) recommande aux administrateurs système de désactiver Windows Sprint Spooler dans le contrôleur de domaine et sur les systèmes qui n'effectuent pas d'impression.
Rappelons que la faille est activement exploitée et qu'aucun délai n'a été donné par Microsoft pour l'arrivée du patch.
Source : The Verge
