Windows : Microsoft n’a pas corrigé la faille du gestionnaire d’imprimante, voici comment vous protéger
Microsoft a déployé hier un correctif contre une faille zero-day découverte plus tôt dans le gestionnaire d'imprimante de Windows. Malheureusement, des chercheurs en cybersécurité affirment que le problème n'est pas résolu. Les pirates peuvent toujours utiliser la brèche pour installer des logiciels malveillants. Bonne nouvelle : il existe un moyen de vous protéger en attendant une solution définitive.
En début de mois, nous vous rapportions qu'une faille zero-day a été découverte dans le gestionnaire d'imprimante de Windows. Baptisée PrintNightmare, celle-ci permet à des pirates de s'infiltrer dans le PC de leur victime pour y installer des logiciels malveillants. Pour ce faire, ils n'ont qu'à se faire passer pour un pilote d'impression. Microsoft a rapidement réagi puisqu'hier, l'éditeur a déployé un correctif en toute urgence.
Alors, problème réglé ? Il semblerait que non. D'après Benjamin Delpy, le développeur derrière le gestionnaire d'authentification Mimikatz, Microsoft a simplement patché l'exécution d'un code à distance dans certaines conditions. Si l'option “Pointer et imprimée” est activée, en revanche, le correctif s'avère parfaitement inutile. Le chercheur cybersécurité Will Dorman a confirmé cette découverte : “Si vous avez un système où PointAndPrint NoWarningNoElevationOnInstall = 1, alors le correctif de Microsoft pour PrintNightmare CVE-2021-34527 ne fait rien pour empêcher l'exécution de code en local ou à distance”.
Confirmed.
If you have a system where PointAndPrint NoWarningNoElevationOnInstall = 1, then Microsoft's patch for #PrintNightmare CVE-2021-34527 does nothing to prevent either LPE or RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke— Will Dormann (@wdormann) July 7, 2021
Comment se protéger contre la faille du gestionnaire d'imprimante de Windows ?
Il faut également que l'option “Lors de l'installation des pilotes pour une nouvelle connexion” soit configurée par “Ne pas afficher l'avertissement ou l'invite d'élévation”. Voici comment vous pouvez vérifier ces paramètres :
- Tapez sur l'icône Windows et recherchez “Modifier la stratégie de groupe”
- Rendez-vous dans Configuration ordinateur > Modèles d'administration > Imprimantes > Restrictions Pointer et imprimer
- Dans la fenêtre qui s'ouvre, consultez l'option “Lors de l'installation des pilotes pour une nouvelle connexion”
- Si celle-ci est configurée sur “Ne pas afficher l'avertissement ou l'invite d'élévation”, cliquez sur Non configuré ou Désactivé
Ceci devrait empêcher les pirates de gagner l'accès à votre ordinateur. “Nous conseillons toujours à nos clients de désactiver cette option partout là où cela n'est pas nécessaire jusqu'à ce qu'un correctif arrive et résolve ce problème de manière appropriée”, indique le chercheur en cybersécurité Matthew Hickey.
Sur le même sujet : Windows – une faille critique dans le gestionnaire d’imprimante menace des millions d’utilisateurs
Il existe également une autre solution pour protéger votre PC. En effet, le site 0patch propose un micropatch gratuit qui résout temporairement le problème, en attendant que Microsoft déploie un correctif efficace. Voici comme l'installer :
- Rendez-vous sur ce lien
- Créez-vous un compte sur le site de 0patch
- Téléchargez et installez 0patch Agent à partir de ce lien
- Votre ordinateur sera patché automatiquement sans avoir besoin de le redémarrer
Attention toutefois à ne pas installer la mise à jour du 6 juillet avant d'effectuer cette opération, car elle annule l'effet du patch. “Si vous utilisez 0patch contre PrintNightmare, n'appliquez PAS la mise à jour Windows du 6 juillet ! Non seulement elle ne corrige pas contre les attaques locales, elle ne corrige pas non plus le problème d'attaque distance. De plus, elle modifie localspl.dll, ce qui fait que nos correctifs contre le problème ne s'appliquent plus”, a tweeté 0patch.
Comment savoir si mon ordinateur est vulnérable à la faille du gestionnaire d'imprimante ?
0patch a publié la liste des versions de Windows pouvant être victime d'une attaque via le gestionnaire d'imprimante. la voici :
- Windows Server 2019
- Windows Server 2016,
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
- Windows 10 (toutes les versions)
Et voici la liste des versions de Windows compatibles avec le correctif de 0patch :
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2008 R2
- Windows 10 v20H2
- Windows 10 v2004
- Windows 10 v1909
- Windows 10 v1903
- Windows 10 v1809
- Windows 10 v1803
- Windows 10 v1709