Insécurité de l’impression : Explication concernant la récente exploitation du spouleur d’impression Windows

Note de l’éditeur :  

Compte tenu de toutes les menaces auxquelles les services informatiques sont confrontés aujourd’hui, il est facile de négliger l'une des sources les moins évidentes, à savoir les sous-systèmes d'impression. Chez LRS, nous comprenons que vos documents sont à la base d'innombrables processus métier. En tant que tels, les périphériques et les serveurs d'impression représentent une surface d’attaques tentantes pour les groupes de pirates et les fournisseurs de logiciels malveillants.

Microsoft et l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) signalent qu'un groupe de pirates russes appelé APT28 déploie actuellement un outil portant le nom de code Gooseegg qui tire parti d'une vulnérabilité connue dans le service du spouleur d’impression de Microsoft Windows (répertorié sous le nom de CVE-2022-38028). Cette vulnérabilité permet aux pirates d'obtenir des privilèges au niveau du système sur un ordinateur non corrigé.

Le moyen le plus simple de prévenir les dommages causés par ces exploits et d’autres est de suivre quelques bonnes pratiques informatiques de bon sens décrites par mon collègue Guy Tucker, lors de l'attaque Printnightmare il y a quelques années. Ses conseils, reproduits ici dans leur intégralité, sont aussi valables aujourd'hui que lors de la publication initiale de l’article en 2021.

Chaque année, je reçois de plus en plus de questions sur la menace bien réelle que représentent les vulnérabilités et expositions communes, ou CVE en abrégé. Chaque jour, je découvre que de grandes entreprises sont victimes de ransomware, de chevaux de Troie ou de virus. Les particuliers sont inquiets. Les entreprises sont inquiètes. Les hôpitaux et les gouvernements sont inquiets. Et bien sûr, les entreprises de logiciels sont inquiètes.

Cette semaine encore, le monde a appris l’existence d’un exploit « Log 4J vulnérabilité CVE-2021-44228 ». Cette faille permet à un pirate d'insérer son propre code dans un processus et de l’exécuter à distance à l’aide d’un simple mécanisme de logging. Ce code est effrayant. Selon la description du CVE, il suffit d’écrire d'une ligne de texte dans un log pour ouvrir une brèche. Les logiciels ont besoin d’écrire des entrées de log pour de nombreuses raisons légitimes, de sorte que la nature de cet exploit le rend à la fois difficile à détecter et difficile à prévenir.

La bonne nouvelle c’est que les produits LRS ne sont pas vulnérables au CVE-2021-44228, ce qui permet à nos clients d’éviter de se soucier de cette exposition. C’est une chance car de nombreux autres systèmes critiques devront être protégés.

Les éditeurs de logiciels se protègent constamment contre les attaques de logiciels malveillants de toutes sortes. Les développeurs LRS sont parfaitement conscients des voies de vulnérabilité et prennent un certain nombre de mesures pour éviter de devenir la cible d’exploits malveillants. Voici quelques-unes de ces mesures :

• Le respect des meilleures pratiques de l'industrie lors de l’écriture du code du produit, comme l’écriture du cryptage au repos et du cryptage à la volée pour toutes les données inter-processus.
• L'utilisation du logiciel le plus performant pour analyser notre code source et éviter les pièges.
• L’adoption du modèle BSIMM de développement et de maturité de la sécurité des systèmes.
• L’analyse et tests dynamiques, statiques et de pénétration continues tout au long du processus de développement.
• L’adoption de méthode de transport Zero-Trust pour garantir la sécurité.
• Eviter les systèmes d'impression du système d'exploitation, très sensibles aux attaques et aux défaillances (PrintnightMare et ses nombreux amis).
• La surveillance constante des attaques signalées pour s’assurer de l’efficacité de nos pratiques.

Des mesures peuvent être instaurées pour vous aider, vous et votre entreprise, dans ce domaine également. Vous avez déjà entendu parler de la plupart d’entre elles, mais il n’est jamais inutile de les rappeler aux autres membres de votre communauté IT et de votre communauté d’utilisateurs. Pour suivre les meilleures pratiques de l'industrie, assurez-vous de :

• Ne jamais ouvrir une pièce jointe provenant d’une source inconnue.
• Restez toujours à jour en ce qui concerne les correctifs des systèmes d'exploitation.
• Maintenez vos produits LRS (et non LRS) autant à jour que possible.
• Envisagez l'adoption des méthodes Zero-Trust dans votre organisation.

Une approche plus proactive à envisager est une évaluation de la sécurité par une tierce-partie, une société de services externe. LRS IT Solutions est l'un de ces prestataires de services de sécurité, et plus particulièrement son offre d'analyse des cyber-risques fondamentaux. De l’analyse des vulnérabilités à la configuration des pare-feux et aux tests de pénétration, ils sont prêts à agir en tant que conseiller externe de confiance.

L'impression peut être un défi dans un environnement Zero-Trust, mais LRS dispose des outils et de l'expérience nécessaires à sa concrétisation. Compte tenu de l'alternative, l’effort en vaut certainement la peine.