PrintNightmare : corriger les failles de sécurité du spouleur d'impression de Windows

PrintNightmare : corriger les failles de sécurité du spouleur d'impression de Windows

Malgré plusieurs correctifs successifs, Microsoft n'a pas réussi à combler toutes les failles de sécurité touchant le spouleur d'impression de Windows. Il convient donc d'appliquer les nouvelles mises à jour dès leur disponibilité.

L'affaire PrintNightmare porte bien son nom, en tournant au véritable cauchemar pour Microsoft depuis plusieurs semaines maintenant. Rappelons les faits. À la fin du mois de juin, des chercheurs en sécurité de Sangfor Technologies dévoilaient l'existence d'une faille critique touchant plusieurs versions de Windows depuis… Windows 7 ! Baptisée PrintNightmare (cauchemar d'impression, en français), cette vulnérabilité se loge dans le spouleur d'impression, le service du système qui met en attente les documents à imprimer (voir notre fiche pratique Spouleur d'impression Windows : comment le relancer ?), et permet à des pirates d'exécuter facilement du code à distance. Après avoir minimisé l'importance de cette brèche, estampillée CVE-2021-34527, Microsoft a reconnu sa dangerosité. D'autant que les chercheurs de Sangfor avaient par erreur publié sur le Net le code test permettant d'exploiter cette faille "0-day" et que des petits malins s'étaient empressés de l'utiliser… 

Pour éviter que PrintNightmare ne fasse des dégâts massifs, Microsoft a du mettre au point en urgence un correctif pour toutes les versions de Windows concernées, à savoir Windows 10 21H1, 20H1, 2004, 1909, 1809, 1803 et même 1507, Windows 8.1, Windows 7 SP1 – pourtant officiellement abandonné… –, Windows Server 2019, 2012, 2008 R2 SP1 et 2008 SP2. Et de manière tout à fait exceptionnelle, l'éditeur n'a pas attendu son traditionnel paquet de correctifs mensuel – le fameux Patch Tuesday – pour le diffuser puisqu'il est d'ores et déjà disponible via Windows Update. Une façon de reconnaître le danger que fait courir cette vulnérabilité.

Quels sont les différentes variantes de PrintNightmare ? 

Hélas, cette faille s'est rapidement transformée en gouffre. Dans les semaines qui ont suivi sa découverte, d'autres brèches ont été identifiées, touchant elles aussi le spouleur d'impression de Windows. Au total, on dénombre à ce jour pas moins de sept failles, toutes critiques, appartenant à la famille PrintNightmare et références sous les appellations suivantes : CVE-2021-1675, CVE-2021-34527, CVE-2021-34481, CVE-2021-36936, CVE-2021-36947, CVE-2021-34483, CVE-2021-36958.

Durant l'été, Microsoft a enchaîné les patchs de sécurité pour les combler les unes après les autres, à la fois sous forme de correctifs individuels, et dans le Patch Tuesday d'août, le traditionnel ensemble de sécurité publié le deuxième mardi de chaque mois. Mais l'éditeur a du mal à tenir la cadence et à contrer les toutes les variantes qui apparaissent au fil des semaines. Ainsi, officiellement, toutes les failles sont corrigées, sauf la dernière, dévoilée le 11 août. Et pour laquelle il n'y a encore aucun correctif fiable… Au point que Microsoft conseille tout simplement de désactiver le service spouleur d'impression quand il n'est pas absolument nécessaire…

Quels sont les risques de PrintNightmare ?

PrintNightmare n'est pas à prendre à la légère. En témoigne l'avertissement lancé par le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (le CERT-FR) dans un bulletin d'information spécial qui confirme que cette vulnérabilité permet une exécution de code arbitraire à distance. Plusieurs experts en sécurité ont d'ailleurs révélé récemment que des groupes de pirates utilisent activement les failles PrintNightmare pour attaquer des entreprises, notamment avec les ransomware Magniber (voir article sur Crowdstrike) et Vice Society (voir article sur Cisco Talos),  le cheval de Troie Purple Fox (voir article sur Cybereason) ou encore la porte dérobée Bazar Loader (voir article sur Unit42). Certes, les attaques recensées ne concernent pour le moment que des entreprises, mais les risques sont énormes et nul ne sait si ce fléau ne s'étendra pas aux particuliers dans un proche avenir…

Comment corriger la faille PrintNightmare avec Windows Update ? 

Si vous ne l'avez pas déjà fait, installez sans attendre les dernières mises à jour de sécurité de Microsoft correspondant à votre version de Windows. 

  • Pour cela, ouvrez les paramètres de Windows avec le raccourci clavier Windows + I, cliquez sur Mise à jour et sécurité, puis, dans Windows Update dans la colonne de gauche.
  • En principe, la mise à jour doit apparaître en haut, dans la section Mises à jour disponibles. Cliquez simplement sur le bouton Télécharger pour la récupérer et l'installer. Si elle n'apparaît pas, cliquez sur Rechercher des mises à jour
  • Quand le téléchargement est terminé, cliquez sur le bouton Redémarrer pour appliquer les correctifs et relancer le système.

Voici la liste des mises à jour (KBXXXXXXX) correspondant à chaque version de Windows concernée.

Comment corriger la faille PrintNightmare avec le patch de 0patch ?

Comme l'ont confirmé plusieurs spécialistes en sécurité, la solution d'urgence de Microsoft n'est pas parfaite. En attendant que le problème soit durablement résolu, il est possible de combler temporairement la faille avec un patch développé par le site 0patch. Attention cependant à ne pas installer la mise à jour de Microsoft avant d'effectuer cette opération, car elle annule l'effet du patch !

  • Avec votre navigateur Web habituel, allez sur le site Patch Central.
  • Sur la page d'accueil, cliquez sur le lien Register, en bas à gauche pur créer un compte gratuit (obligatoire).
  • Das le module d'inscription, indiquez votre adresse mail et cliquez sur Sign In. Vous recevrez aussitôt un message avec un lien pour validation. Cliquez sur le bouton Verify Account, puis terminez votre inscription en indiquant un mot de passe.
  • Connectez-vous ensuite avec votre compte sur le site Patch Central.
  • Cliquez ensuite sur ce lien pour télécharger et installer le patch.
  • Le correctif est appliqué automatiquement, vous n'avez pas sans avoir besoin de redémarrer votre PC.

Attention, ce patch n'est valable qu'avec les versions suivantes de Windows : Windows 10 1709, 1803, 1809, 1903, 1909, 2004 et 20H2 et Windows Server 2008 R2, 2012 R2, 2016 et 2019

Comment désactiver le spouleur d'impression de Windows ?

En attendant un correctif enfin efficace de Microsoft, la solution la plus efficace pour éviter d'être piraté via les failles PrintNightmare consiste à désactiver purement et simplement le spouleur d'impression de Windows. Il existe plusieurs façons d'y parvenir.

  • Tapez le raccourci clavier Windows + R.
  • La fenêtre Exécuter s'ouvre. Dans le champ, tapez cmd, puis appuyez sur la touche Entrée.
  • Dans la fenêtre de l'invite de commande de Windows qui s'ouvre alors, saisissez net stop spooler, puis appuyez sur la touche Entrée pour arrêter le service spouleur d'impression.
  • Autre solution, un peu plus longue, tapez le raccourci clavier Windows + R pour ouvrir la fenêtre Exécuter. Dans le champ de saisie, tapez  services.msc, puis appuyez sur la touche Entrée.
  • La fenêtre Services s'ouvre. Faites défiler la liste des services. Faites un double clic sur Spouleur d'impression.
  • Dans la fenêtre de propriétés qui s'affiche alors, cliquez sur le menu Type de démarrage et sélectionnez Désactivé.
  • Cliquez sur OK pour valider votre choix et refermer la fenêtre. Redémarrer le pC.