CVE-2021-1675 était à ses débuts une petite vulnérabilité de sévérité modérée, affectant le gestionnaire des tâches d’impression de Windows, dont l’exploitation ne pouvait se faire que via un accès local. Microsoft a d’ailleurs publié un correctif dédié dans son Patch Tuesday. Jusqu’à ce que des chercheurs remarquent que cette faille n’était pas si anodine...
Lors du dernier patch Tuesday, on a pu constater que Microsoft corrigeait une vulnérabilité, CVE-2021-1675, affectant le Print Spooler de Windows, soit le gestionnaire des tâches d’impression du système d’exploitation. Rien de critique, la faille permet une élévation de privilèges pour un attaquant qui aurait un accès local au terminal.
En soi, CVE-2021-1675 n’avait rien d’effrayant. Et puis Redmond venait de la corriger, n’est-ce pas ? Sauf que des chercheurs en sécurité publient le jour même un exploit de ladite faille, montrant qu’elle est autrement plus grave qu’annoncé puisqu’elle permet une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM. Et ce quand bien même elle est patcheé. Correctifs incomplets s’écrie-t-on bien vite. La faille est alors rebaptisée : PrintNightmare.
La faille derrière la faille
Sauf que certains y sont allés un peu vite en besogne. En effet, CVE-2021-1675 était bel et bien corrigé, et ne permet qu’une exploitation locale. Contrairement à CVE-2021-34527, qui était caché juste derrière et a fait hier l’objet d’une alerte de Microsoft. C’est bien cette seconde vulnérabilité que les chercheurs ont exploitée, et elle est autrement plus critique.
CERT-FR explique que « des codes d'exploitation sont publiquement disponibles sur Internet, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours ». Ce qui est inquiétant, d’autant que le service concerné est activé par défaut sur tout système Windows. Ces codes utilisent la fonction de téléversement d’un pilote pour installer du code malveillant, explique le CERT.
« En particulier, au sein d'un système d'information Microsoft, les contrôleurs de domaine Active Directory sont particulièrement exposés, puisqu'un attaquant, ayant préalablement compromis un poste utilisateur, pourra in fine obtenir les droits et privilèges de niveau "administrateur de domaine" Active Directory » poursuit-il. Et soudain, la vulnérabilité modérée se change en cauchemar.