Troisième faille en trois semaines… Les équipes de sécurité de Microsoft découvrent une passoire au cœur de Windows : le spooler d’impression…

Microsoft s’en serait bien passé alors que l’éditeur s’affiche comme un acteur majeur de la cybersécurité (Microsoft 365, Azure Sentinel, Defender…) et le partenaire de la résilience des entreprises. Mais la firme dirigée par Satya Nadella est au cœur de l’affaire Candiru (ce spyware israélien utilisé pour espionner des activistes, des dissidents et surtout des journalistes, spyware exploitant des failles Windows) mais aussi d’une série d’attaques d’envergure – SolwarWinds, Kaseya, Exchange Server – et d’une série de failles Windows centrées sur la couche d’impression du système.

Après les failles CVE-2021-1675 (corrigée avant son exploitation) et CVE-2021-34527 (divulguée par erreur et devenue faille Zero Day sous le nom de PrintNightmare), une nouvelle faille (CVE-2021-34481) semble exploitée par les cybercriminels.

Une fois encore, et comme les deux précédentes, cette faille réside au cœur du spooler d’impression de Windows, l’une des parties du système les plus anciennes. Et justement parce qu’il s’agit d’une section ancestrale, toute modification pour correction entraîne souvent des problèmes de compatibilité avec certains drivers pas nécessairement écrits dans les règles de l’art. Microsoft a ainsi connu quelques soucis de cet ordre avec le correctif de la faille PrintNightmare.

Cette faille est néanmoins moins critique parce qu’elle nécessite un accès local à la machine pour être exploitée (alors que les deux failles précédentes permettaient une exécution à distance).

Cette faille n’a pas encore de patch. Pour protéger les machines contre des attaques l’exploitant, le plus simple est encore de désactiver le spooler d’impression.

Pour cela, Microsoft recommande de lancer PowerShell en mode admin et de saisir les 3 commandes suivantes:

Get-Service -Name Spooler
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled