PrintNightmare : le patch ne suffit pas, il faut éditer la base de registre...

Nathan Le Gohlisse
Spécialiste Hardware
14 juillet 2021 à 12h56
24
© Clubic
© Clubic

En urgence, Microsoft lançait la semaine dernière un patch voué à combler la vulnérabilité « PrintNightmare ». Un patch qui ne s'avère en réalité pas tout à fait suffisant. Pour parfaire la protection contre cette faille critique, un passage dans le registre est également suggéré…

Faille critique, c'est le moins que l'on puisse dire. Avec « PrintNightmare », les hackers se voyaient offrir un accès aux privilèges système pour « installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges ». Patché la semaine dernière au travers de la mise à jour de sécurité KB5004945, cette vulnérabilité requiert malgré tout une vérification dans le registre pour être totalement comblée.

L'utilisateur mis à contribution

Dans la note de version attachée à la mise à jour KB5004945, Microsoft conseille ainsi à l'utilisateur ou utilisatrice de se retrousser les manches pour assurer une protection complète de son ou ses appareils face à la faille PrintNightmare. « Vous avez également la possibilité de configurer le paramètre de registre RestrictDriverInstallationToAdministrators pour empêcher les non-administrateurs d'installer des pilotes d'imprimante signés sur un serveur d'impression », lit-on.

« En plus d’installer les mises à jour, pour sécuriser votre système, assurez-vous que les paramètres de Registre suivants ont la valeur 0 (zéro) ou ne sont pas définis », a ajouté Microsoft, précisant néanmoins que « ces clés de registre n'existent pas par défaut, et présentent dès lors une configuration sécurisée ».

Quelles sont les clés du registre à vérifier ?

En l'occurrence, trois clés sont à vérifier dans le registre, les voici :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • NoWarningNoElevationOnInstall = 0 (DWORD) ou valeur non définie (paramètre par défaut)
  • UpdatePromptSettings = 0 (DWORD) ou valeur non définie (paramètre par défaut)

Comme le rappelle WCCFTech, Microsoft met à disposition plus d'informations sur la page dédiée à la faille, ainsi que des solutions de contournement et une foire aux questions.

Source : WCCFTech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (24)

pinkfloyd
Heu… comprend pas là, microsoft n’est pas capable ni n’a les moyens de pondre un patch en urgence critique qui créé 3 clef de registre ?<br /> ca prendrais moins de temps que de créer une page web qui explique tout au commun des mortel…
smover
Oui c’est bizarre et ce n’est ni logique ni clair. Est-ce cela ne concerne pas uniquement les admins de serveurs d’impression ?
SPH
La page dédiée à la faille ne m’a pas du tout éclairé…
santec
salut<br /> je n’ai aucune de c’est clé registre !?
nicgrover
Clés introuvables…<br /> Microsoft a du les corriger en les supprimant ou bien cela ne concerne que les versions pro de Windows ou autre chose encore…
Oncle_Picsou
Il semblerait qu’il n’y ait rien à faire, ces clés registres n’existant pas par défaut.<br /> Tiré de la page Microsoft:<br /> " (Remarque : ces clés de Registre n’existent pas par défaut et présentent dès lors une configuration sécurisée.)"<br /> Du coup c’est normal pour le commun des mortels de ne pas les avoir, et c’est donc tout bon!
ivico
Je suis plus mac que pc.<br /> Cette news ne vaut même pas un troll.<br /> Incompréhensible tout simplement.<br /> Je dirais même plus, ca fait peur.<br /> Vive windows 11
Pretarian
Sauf qu’en entreprise, ca va bien mettre la merde. Cela signifie que l’admin devra au moins se connecter une fois sur les nouveaux postes pour déployer les imprimantes. Impensable lors d’un deploiement de plusieurs dizaines de poste…
kellog89
Oui, c’est tout bon si elles n’existent pas, sinon il faut que leurs valeurs soient à 0.
kellog89
En entreprise en général c’est fait par GPO
Pretarian
@Corenut,<br /> Évidemment que c’est fait via GPO. Si la gpo est en contexte SYSTEM pas de problème, mais lorsque c’est une GPO «&nbsp;utilisateur&nbsp;» ca coincera. Pour ma part je déploie les imprimantes en contexte utilisateur avec le paramètre «&nbsp;Pointer et imprimer&nbsp;». Il va falloir que je revois tous cela😒
Faisduvelo
Et hop, encore 10s de perdues à chaque login jusqu’à ce que le GPO soit enlevée !<br /> On dit merci qui ?
saerdryl
compare Mac OS et W10 ou W11 est aussi pertinent que comparer du riz cantonais et du poisson pané. les deux servent à se nourrir mais cela s’arrête la. pour les 2 OS c est pareils, Mac OS est basé sur UNIX et il mono cœur et d’une diffusion faible donc peut ccibler, W10 et W11 sont basés sur X86 X64 multi cœurs, et c est extrêmement rependu donc ciblé par les pirates et hackeurs. Ils testent en permanence pour trouver des failles pour leurs attaques. Donc au bout d’un moment ils en trouvent et il y en a d autres…
Nehi
J’ai ri, merci !
xylf
Multi cœur ? Tu parles du type de noyau?
Popoulo
L’exploitation de cette faille, est comme beaucoup d’autres, un peu anecdotique.
twenty94470
Faut se mettre aux baselines les gpo c’est hasbeen
bmustang
ne cherchez pas, c’est du usa/microsoft<br /> attendons de voir le nombre de saloperies dans windows 11 ça va être marrant ?
karsayor
Ces clés de registre sont là que si une GPO (d’ou l’emplacement «&nbsp;policies&nbsp;») a été mise en place pour gérer les restrictions Point and Print, ce n’est le cas en général qu’en entreprise. Pour la plupart des gens pas un souci donc
Maspriborintorg
en 2019 il y a peu plus d’infection sur IOS MAC que sur Windows. Le service informatique du CERN indique que les MAC sont aussi vulnérables que les PC. La seule différence, c’est qu’avec Apstore où tout est payant, il y a moins de risque de charger un programme malveillant.
Maspriborintorg
Le peu de variantes des produits Apple par rapport aux PC (pour les PC, il y a des dizaines de millier de configuration entre les cartes mères, les processeurs, les cartes graphiques, les cartes ou processeur audio, les cartes ou processeurs graphiques, les cartes d’acquisition pour l’interface d’appareil scientifiques qu’il est normal que les mises à jour créent ici où là quelques problèmes. Même Apple avec le peu de configuration à gérer connait aussi des plantages avec des mises à jour. Et aussi, avec la manie des désigners d’Apple de concevoir une carrosserie et de laisser aux ingénieurs le travail d’y intégrer le matériel quitte à surchauffer le matériel. Je me souvient, dans les années 90 de processeurs graphiques dans des MAC en forme de cube qui dépassait fortement la température maximum conseillée. Ide pour l’hécatombe de Time capsule en 2009 due au volume trop petit du bidule et surtout au choix du disque dur d’Hitachi le plus mauvais de la gamme car le moins cher (durée de vie moyenne des Time capsule de 17 mois, statistique sur plus de 2500 mortes. Je viens de récupérer pour une connaissance sur un Imac de 2012 les photos avec un disque externe formaté ExFat et ai eu la surprise de constater que la date d’origine des photos a été remplacée par celle du jour de sauvegarde. Heureusement, sur PC, j’ai trouvé un programme qui remets automatiquement la date extraites des données Excif. En sortant le disque du MAC et en le raccordant directement au pC, avec un logiciel permettant de lire une partition MAC les données des photos ne sont pas altérées. Ce MAC est partiellement en panne côté processeur graphique, mais le coût exorbitant d’une réparation à conduit à son abandon. Sur PC, une carte graphique avec un processeur graphique équivalent ne vaut que 100 US$. Étant intégrateur de PC pour des professionnels photographes, imprimeurs et vidéastes, j’ai eu l’occasion de comparer il y a quelques années un PC à 3000 frs écran art graphique compris et un MAC PRO à 7000 frs. Le test sous Photoshop d’une image par un script a donné un temps de 101 secondes sur PC et 100 secondes sur le MAC. En 1989, j’avais sur mon PC une carte graphique Matrox qui gérait déjà un milliard de couleur loin devant les MAC de l’époque. Sur PC on peut avoir du très bas de gamme pour la bureautique ou la commande de machine outils ou le pilotage d’équipement de laboratoire ou d’automates programmables et du haut de gamme pour le graphisme et la vidéo.
reith
oui en effet y’a pas ces clés de registre…<br /> il est probable que c’est dans la gestion d’administration en milieu pro.
xeno
A la rigueur un simple batch et hop la base de registre est corrigé, bizarre…
Axel-Swailli
A priori le patch fonctionne sur certaines machines et pas sur d’autres<br /> J’ai plusieurs machines sous Windows 10 Pro et famille, sur certaines les clés éxistent et ne sont pas bien paramètrées, sur d’autres les clés éxistent et son bien paramètrées et sur la dernière les clés n’éxistent pas.<br /> Les 5 machines concernées n’utilisent pas les même pilotes d’imprimante et a priori le patch fonctionne sur certains mais pas sur d’autres d’où la demande de Micorsoft de vérifier manuellement les 3 clés de registre concernées si elles ont bien été mise en valeur DWORD = 0<br /> Dans l’absolu si ces clés n’apparaissent pas dans la base de registre c’est que votre PC est sécurisé sans faille zéroday (confirmation faite par l’assistance Microsoft) si elles apparaissent alors faut vérifier que la clé soit bien =0
Voir tous les messages sur le forum