La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a trouvé un vulnérabilité majeure dans le service de file d’attente d’impression Windows que Microsoft enquête activement.
Cet exploit, baptisé ImprimerCauchemar, a été répertorié comme « critique » car il permet l’exécution de code à distance. Selon les chercheurs, la cause du problème est que le service Spooler ne restreint pas l’accès à la fonction RpcAddPrinterDriverEx (). Cela amène un attaquant authentifié à distance à l’utiliser pour exécuter du code arbitraire sous le couvert de SYSTEM.
Il n’y a toujours pas de solution pour PrintNightmare mais nous pouvons le « contourner »
Selon la société nord-américaine, ils enquêtent sur le problème et ne peuvent que suggérer deux solutions temporaires. Le premier est désactiver le service de file d’attente d’impression Windows. La seconde, moins drastique, serait désactiver l’impression à distance via les stratégies de groupe, afin que vous puissiez continuer à imprimer localement.
Microsoft enquête sur cette vulnérabilité à l’aide du code CVE-2021-34527. Microsoft a explicitement dit que le code problématique est présent dans toutes les versions de Windows mais ils ne savent toujours pas si cela affecte tout le monde.
Il est important de rappeler que de nombreuses entités ont déjà publié le code pour activer l’exploit ces derniers jours. Il est important d’appliquer le dernier Patch Tuesday pour protéger partiellement l’organisation, puis au moins de désactiver l’impression à distance via la stratégie de groupe.