Publié dans Logiciel

15

PrintNightmare : Microsoft publie un correctif (incomplet) en urgence, y compris pour Windows 7

PrintNightmare : Microsoft publie un correctif (incomplet) en urgence, y compris pour Windows 7

C’est le scénario catastrophe selon les chercheurs à l’origine de cette découverte : toutes les versions encore supportées de Windows sont concernées par une brèche qui permet à des attaquants de prendre le contrôle à distance, comme le rapporte Ars Technica.

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges SYSTÈME. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges », confirme Microsoft.

Comme son nom l’indique, cette vulnérabilité (CVE-2021-34527) se situe dans le spouleur d’impression de Windows. Elle « est similaire mais distincte de la vulnérabilité attribuée à la CVE-2021-1675 », ajoute l’éditeur. Un prototype permettant d’exploiter cette faille a été mis en ligne avant d’être retiré… mais pas assez rapidement puisqu'il a été copié, il se trouve donc entre les mains de potentiels attaquants. Microsoft confirme d’ailleurs que cette brèche est d’ores et déjà exploitée.

Une solution de contournement est de désactiver le service Spouleur d’impression. Depuis peu, des mises à jour sont disponibles pour toutes les versions encore prises en charge de Windows, mais aussi – fait rare démontrant la dangerosité de la faille – pour Windows 7. C’est du moins ce qu’indique Microsoft, mais tout le monde n’est pas du même avis.

Sur Twitter, Benjamin Delpy explique en effet qu’il suffirait de passer par l’Universal Naming Convention (UNC) pour contourner les protections. Une vidéo de démonstration a été mise en ligne par ici. Interrogée par The Register sur ce nouveau trou dans la raquette, Microsoft n’a pas souhaité répondre pour le moment.

15

Tiens, en parlant de ça :

dessin satirique de Flock

#Flock : de Game of Shithrones au jeu des sept différences

Moi en retard ??? Non… (Ha si…)

13:37 Flock 11
Des chercheurs en noir et blanc regardent une fiole sur laquelle est écrit "Perlimpimpin" en jaune.

[Édito] Respectez les sciences, bordel !

Demi mole

17:07 NextScience 41
Vitrée brisée

Une faille critique dans le langage Rust, Windows trinque

De la rouille, des fenêtres, une rustine

17:02 SoftSécu 28
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

15

Fermer

Commentaires (15)



Depuis peu, des mises à jour sont disponibles pour toutes les versions encore prises en charge de Windows, mais aussi – fait rare démontrant la dangerosité de la faille – pour Windows 7.




La dernière partie de la phrase est fausse. Windows 7, tout comme WS 2008 reçoivent encore des updates régulièrement. Néanmoins, l’accès à ces mises à jour passe par un programme spécial, appelé ESU, qui n’est accessible qu’aux entreprises.
Ici, la liste des derniers patchs : https://support.microsoft.com/fr-fr/topic/july-6-2021-kb5004953-monthly-rollup-out-of-band-b0e3bd48-924b-45c5-8b54-d8317aa62901



Ce qui démontre la dangerosité de la faille, ce n’est pas la couverture d W7, mais bien que le MSRC ait déployé en urgence le patch en Out Of Band, plutôt que d’attendre le Patch Tuesday (au 13 juillet ce mois-ci)


Je confirme, impossible d’installer la mise à jour sur Windows 7


tiret

Je confirme, impossible d’installer la mise à jour sur Windows 7


Si c’est dans un contexte perso (i.e. Win 7 Home), c’est normal
Si c’est dans un contexte pro (i.e. Win 7 Pro / Enterprise), il faut acquérir des SKU spécifiques et les enregistrer pour chaque machine :




“Une solution de contournement est de désactiver le service Spouleur d’impression. “



Euh et on fait comment pour imprimer ?


Bah du coup on peut pas, c’est pour ça que c’est juste une solution de contournement ^^


Si NextInpact avait fourni toutes les infos importantes, on ne se poserait pas la question. Seuls les serveurs d’impression (donc typiquement sur un domaine) sont vulnérables par défaut. Les machines de Monsieur tout le monde ne le sont normalement pas :




In order to secure your system, you must confirm that the following registry settings are set to 0 (zero) or are not defined (Note: These registry keys do not exist by default, and therefore are already at the secure setting.):




HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
NoWarningNoElevationOnUpdate = 0 (DWORD) or not defined (default setting)

D’aprés ce que j’avais compris, il faut le désactiver sous windows server mais pas sur les postes pour pouvoir continuer à imprimer



Freud a dit:


Si NextInpact avait fourni toutes les infos importantes, on ne se poserait pas la question. Seuls les serveurs d’impression (donc typiquement sur un domaine) sont vulnérables par défaut. Les machines de Monsieur tout le monde ne le sont normalement pas :



HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint



NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
NoWarningNoElevationOnUpdate = 0 (DWORD) or not defined (default setting)



On vit à l’ère du buzz. Et le buzz est souvent accompagné d’un second cavalier, le FUD.



Freud a dit:


Si NextInpact avait fourni toutes les infos importantes, on ne se poserait pas la question. Seuls les serveurs d’impression (donc typiquement sur un domaine) sont vulnérables par défaut. Les machines de Monsieur tout le monde ne le sont normalement pas :



HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint



NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
NoWarningNoElevationOnUpdate = 0 (DWORD) or not defined (default setting)



Cette information est présente sur la version anglaise de la page MSRC, non sur la version française.



(reply:1885098:Zone démilitarisée)




Effectivement. Néanmoins, des journalistes techniques se doivent d’aller chercher l’info à la source (donc en anglais). Les traductions (même officielles) des infos sont souvent incomplètes, fausses, ou inexistantes, ça n’est pas un secret :)


Marrant.



A l’époque je trouvais ca super pratique de pouvoir “précharger” les différentes versions des drivers d’imprimantes (w2k, nt4…) sur le serveur d’impression afin que le bon driver s’installe automatiquement sur chaque client.



Mais ça c’était avant que la cybersécurité soit un problème quotidien :/


Ca me rappelle une faille sous winXP et win2000 qui utilisait lui aussi le spooler d’impression à l’époque.


Apparemment le correctif ne fonctionne pas



(reply:1885263:Zone démilitarisée)




bullshit !



ungars a dit:


bullshit !




… Mais encore ? C’est un peu court, jeune homme !