par Martin Brinkmann le 15 août 2021 dans Sécurité – Pas de commentaires
Plusieurs vulnérabilités liées à l'impression Windows ont été découvertes, divulguées et résolues ces derniers temps. Microsoft a publié une mise à jour d'urgence en juillet pour corriger une vulnérabilité appelée PrintNightmare.
Cette semaine, Microsoft a révélé une autre vulnérabilité liée à l'impression dans Windows. Le CVE révèle peu d'informations à ce stade car l'enquête de Microsoft est toujours en cours.
Selon les informations fournies, il s'agit d'une vulnérabilité d'exécution de code à distance qui affecte le spouleur d'impression Windows.
Il existe une vulnérabilité d'exécution de code à distance lorsque le service Spouleur d'impression Windows exécute de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d'utilisateur complets.
Microsoft ne répertorie pas les versions et éditions concernées du système d'exploitation Windows de l'entreprise, car la recherche est toujours en cours. Toutes les versions de Windows ont été affectées par PrintNightmare, et il est possible que la nouvelle vulnérabilité 0-day affecte également toutes les versions.
Microsoft note qu'il travaille sur un correctif de sécurité, qu'il publiera probablement en tant que correctif hors bande une fois produit.
Solution : désactivez le spouleur d'impression
La solution de contournement de Microsoft pour protéger les systèmes contre les attaques ciblant la nouvelle vulnérabilité du spouleur d'impression consiste à désactiver le spouleur d'impression. L'inconvénient de la désactivation du spouleur d'impression est que l'impression devient indisponible.
L'une des solutions de contournement de la vulnérabilité PrintNightmare consistait à arrêter également le spouleur d'impression.
Désactiver le spouleur d'impression via PowerShell
- Open Start.
- Tapez PowerShell.
- Sélectionnez Exécuter en tant qu'administrateur.
- Exécutez Get-Service -Name Spooler pour obtenir l'état du spooler d'impression-
- Exécutez Stop-Service -Name Spooler -Force pour arrêtez le service Print Spooler.
- Exécutez Set-Service -Name Spooler -StartupType Disabled pour définir le type de démarrage du service sur désactivé afin qu'il ne soit pas activé au démarrage du système.
Désactiver le spouleur d'impression via les services
Vous pouvez également utiliser l'interface de gestion des services pour arrêter le service Spouleur d'impression et définir son type de démarrage sur désactivé.
- Ouvrir Démarrer.
- Tapez services.msc
- Recherchez le service Spouleur d'impression. La liste est triée par ordre alphabétique par défaut.
- Cliquez avec le bouton droit sur Spouleur d'impression et sélectionnez Arrêter.
- Double-cliquez sur Spouleur d'impression.
- Définissez le type de démarrage sur désactivé.
- Sélectionnez OK.
Effet de la solution de contournement
Vous ne pourrez pas imprimer plus sur le périphérique si le service Print Spooler n'est pas en cours d'exécution. Vous pouvez l'activer à la demande, par ex. juste avant de démarrer un nouveau travail d'impression sur l'appareil, puis éteignez-le à nouveau.