Quelques jours seulement après que Microsoft a sonné l’alarme sur une vulnérabilité de sécurité non corrigée dans le service Windows Print Spooler, peut-être une autre faille zero-day dans le même composant a-t-elle été révélée, ce qui en fait la quatrième faille liée à l’imprimante à être découverte ces dernières semaines.

« Microsoft Windows permet aux utilisateurs non administrateurs d’installer des pilotes d’imprimante via Point and Print », Will Dormann du Centre de coordination du CERT mentionné dans un avis publié dimanche. « Les imprimantes installées via cette technique installent également des fichiers spécifiques à la file d’attente, qui peuvent être des bibliothèques arbitraires à charger par le processus privilégié du spouleur d’impression Windows. »

Un exploit pour la vulnérabilité a été révélé par un chercheur en sécurité et Créateur Mimikatz Benjamin Delpy.

#impressioncauchemar – Épisode 4

Vous savez quoi de mieux qu’une imprimante Kiwi légitime ?
🥝Une autre imprimante Kiwi légitime…👍

Pas de prérequis du tout, vous n’avez même pas besoin de signer les pilotes/paquet pic.twitter.com/oInb5jm3tE

— Benjamin Delpy (@gentilkiwi) 16 juillet 2021

Plus précisément, la faille permet à un acteur malveillant d’exécuter du code arbitraire avec les privilèges SYSTEM sur une machine Windows vulnérable en se connectant à un serveur d’impression malveillant sous son contrôle.

Bien qu’il n’y ait pas de solution au problème, le CERT/CC recommande de configurer « PackagePointAndPrintServerList » pour empêcher l’installation d’imprimantes à partir de serveurs arbitraires et bloquer le trafic SMB sortant à la frontière du réseau, étant donné que les exploits publics pour la vulnérabilité utilisent SMB pour la connectivité à un imprimante partagée.

Le nouveau problème n’est que la dernière preuve des retombées après la publication accidentelle de la faille PrintNightmare le mois dernier, conduisant à la découverte d’un certain nombre de vulnérabilités affectant le service Print Spooler.