La tranquilité avec MyQ face à PrintNightmare
14/03/2023
Le partage excessif, les pilotes d'impression et les comportements dangereux des administrateurs peuvent créer des risques systémiques.
"PrintNightmare" est le nom d'une série de graves failles de sécurité du service Spooler d'impression Windows (CVE-2021-34481 et CVE-2021-34527). Bien que ces problèmes aient été révélés au grand jour au milieu de l'année 2021, les conditions qui les ont provoqués hantent encore le sommeil des administrateurs système.
La vulnérabilité PrintNightmare permettait à n'importe quel utilisateur du réseau d'une entreprise d'exploiter le contrôleur de domaine via le Spooler d'Impression Windows et de compromettre le domaine Microsoft Active Directory. Elle permettait aux attaquants d'exécuter du code avec les privilèges système, pour autant qu'ils disposent des informations d'identification de n'importe quel utilisateur authentifié.
Le service Spooler d'Impression de Microsoft est l'intermédiaire réseau entre les imprimantes et les ordinateurs individuels. Il accepte les travaux d'impression de l'ordinateur, s'assure que les ressources de l'imprimante sont disponibles et planifie l'ordre de mise en file d'attente des travaux d'impression. Pour les contrôleurs de domaine, le service Spooler d'Impression obtient la liste des imprimantes à partir d'Active Directory et vérifie si le serveur d'impression est accessible ou si l'imprimante est toujours partagée.
Oui, le Spooler a un rôle important, mais il n'est pas essentiel. Même si certaines solutions de gestion d'impression l'utilisent de manière intensive, il est depuis longtemps reconnu comme un risque pour la sécurité. Microsoft recommande que les contrôleurs de domaine et les systèmes d'administration Active Directory désactivent ce service lorsqu'il n'est pas nécessaire.
Le partage excessif présente un risque
Les problèmes liés au Spooler Windows ont augmenté de façon exponentielle en raison d'une rupture de communication entre les chercheurs en sécurité et Microsoft. En bref, deux chercheurs ont partagé leurs découvertes - et une preuve de concept - concernant cette vulnérabilité avant que Microsoft n'ait préparé un correctif entièrement fonctionnel. Ces résultats de recherche ont été diffusés de manière virale, ce qui n'est pas une bonne chose. En outre, Microsoft a eu besoin non pas d'un, mais de plusieurs correctifs pour résoudre la plupart des problèmes. L'une des principales mesures correctives consistait à exiger des utilisateurs qu'ils disposent de privilèges administratifs lorsqu'ils utilisent la fonction "Pointer et imprimer" pour installer des pilotes d'imprimante. La manière dont ces mesures ont été mises en œuvre a également fait l'objet de plaintes.
Pratiquez-vous l'informatique en toute sécurité ?
La publication prématurée de chercheurs n'était que le début visible du problème. PrintNightmare a en fait été accéléré par des administrateurs pratiquant une "informatique peu sûre".
"C'est dû à la pratique courante du partage des pilotes sur le réseau via le Spooler d'Impression Microsoft", explique Václav Salava, spécialiste de l'assistance technique chez MyQ. "Je dirais qu'il s'agit d'un comportement systémiquement risqué.
Bien que Spooler d'Impression ait été important, mais en tant que risque de sécurité connu, il ne devrait pas être un élément obligatoire de tout logiciel de gestion d'impression. Il a été rendu public pour la première fois lorsqu'il a été incorporé dans le ver Stuxnet sous la forme de la fameuse vulnérabilité zero-day CVE-2010-2729. N'oubliez pas que même Microsoft recommande de le désactiver.
Soyez tranquille avec MyQ
Chez MyQ, il n'y a pas eu d'alarmes sur les problèmes de PrintNightmare et du Spooler d'Impression, et ce pour deux bonnes raisons. Premièrement, MyQ X ne nécessite pas le service Spooler d'impression. Deuxièmement, MyQ encourage depuis longtemps ses clients à configurer leur environnement sans partage du pilote d'impression. "Le pilote d'impression peut être installé directement sur les ordinateurs clients", souligne Václav. Avec MyQ X, cela peut être fait par un administrateur via un script de gestion pour la distribution des pilotes. En outre, il existe plusieurs méthodes d'impression sans pilote que les clients peuvent également utiliser. Ces alternatives incluent AirPrint, le téléchargement web, l'impression par e-mail et l'impression mobile avec l'application Mobile MyQ X.
Pour des rêves plus sûrs et de meilleure qualité, mettez le service Spooler d'Impression en sommeil.
La nouvelle version 10.1 élimine la pagaille dans les documents grâce à l'aperçu avant impression sur le terminal, ajoute de nouvelles fonctions « Easy » (faciles) et offre l'authentification unique Microsoft (SSO). Et ce n'est que le début...
MyQ X
4 min de lecture