Après que Microsoft ait publié une mise à jour de sécurité pour corriger la vulnérabilité PrintNightmare, les chercheurs en sécurité ont examiné de près les API d'impression de Windows et ont trouvé une nouvelle vulnérabilité affectant le spouleur d'impression de Windows.

L'exploitation de cette vulnérabilité permet à un acteur malveillant d'élever ses privilèges sur une machine ou d'exécuter du code à distance.

Benjamin Delpy, chercheur en sécurité et créateur de Mimikatz, a révélé publiquement une nouvelle vulnérabilité de type "zero-day" qui permet à un acteur malveillant d'obtenir facilement des privilèges SYSTÈME sur une machine Windows par le biais d'un serveur d'impression à distance sous son contrôle.

"Microsoft Windows permet aux utilisateurs non administrateurs d'installer des pilotes d'imprimantes par le biais du service Point and Print", a déclaré Will Dormann, un analyste de vulnérabilité du centre de coordination du CERT. "Les imprimantes installées via cette technique installent également des fichiers spécifiques aux files d'attente, qui peuvent être des bibliothèques arbitraires à charger par le processus privilégié Windows Print Spooler."

Ce qui rend cette vulnérabilité si dangereuse, c'est qu'elle affecte toutes les versions actuelles de Windows et permet à un acteur de la menace d'obtenir un accès à un réseau et d'obtenir instantanément les privilèges SYSTEM sur le périphérique vulnérable.

En utilisant cet accès, les acteurs de la menace peuvent se propager latéralement sur le réseau jusqu'à ce qu'ils aient accès à un contrôleur de domaine.

Bien qu'il n'y ait pas de solution au problème, le CERT/CC recommande de configurer "PackagePointAndPrintServerList" pour empêcher l'installation d'imprimantes à partir de serveurs arbitraires et de bloquer le trafic SMB sortant à la frontière du réseau, étant donné que les exploits publics pour la vulnérabilité utilisent SMB pour la connectivité à une imprimante partagée malveillante.