Microsoft a publié le 14 septembre une troisième mise à jour de sécurité pour corriger – définitivement ? – les dernières vulnérabilités zero-day de PrintNightmare. La faille de sécurité sur le spooler d’impression de Windows permet aux cyberattaquants d’obtenir tous les privilèges administratifs sur les terminaux.
En juin 2021, une faille du type zero-day, nommée PrintNightmare (CVE-2021-34527), a été divulguée sur le spooler d’impression de Windows. En exploitant la fonctionnalité d’impression de Windows elle permet d’obtenir tous les privilèges administratifs sur les terminaux utilisant le système d’exploitation de Microsoft.
PrintNightmare n’était toujours pas corrigé définitivement alors que Microsoft a déjà publié deux mises à jour de sécurité cet été. Selon le magazine BleepingComputer, l’éditeur a dû en publier une troisième mi-septembre 2021 pour corriger une autre vulnérabilité détectée par Benjamin Delpy, responsable du Centre de Recherche & Développement en Sécurité à la Banque de France. Elle permet toujours aux attaquants d’obtenir rapidement des privilèges System en se connectant à un serveur d’impression distant.
Pour aggraver la situation, des gangs de rançongiciels, tels que Vice Society, Magniber et Conti, ont commencé à utiliser ce bug pour obtenir des privilèges élevés sur les terminaux compromis selon BleepingComputer. Outre la correction de la vulnérabilité, Benjamin Delpy a déclaré à BleepingComputer que Microsoft avait désactivé la fonction CopyFiles par défaut et ajouté une stratégie de groupe non documentée qui permet aux administrateurs de la réactiver.