Découverte par des chercheurs de Vectra Networks, une vulnérabilité de sécurité concerne toutes les versions de Windows et permet à un attaquant d'injecter du code malveillant par le biais d'un pilote d'impression.
L'attaque peut être initiée depuis le réseau local (Intranet) ou à distance (Internet) grâce aux protocoles Internet Printing Protocol et webPointNPrint. Vectra Networks résume la situation par la possibilité de transformer une imprimante en un kit d'exploitation drive-by interne où il suffit d'attendre que les utilisateurs viennent pour les infecter à leur insu.
" Normalement, le contrôle du compte de l'utilisateur alerte ou empêche un utilisateur d'installer un nouveau pilote. Pour rendre l'impression plus facile, une exception a été créée pour éviter ce contrôle ", écrit Nick Beauchesne de Vectra Networks.
Il ajoute qu'au final, " nous avons un mécanisme qui permet de télécharger des fichiers exécutables à partir d'un lecteur partagé, et de les exécuter en tant que fichiers système sur un poste de travail sans générer une alerte du côté de l'utilisateur. "
Un patch de Microsoft corrige le problème en modifiant la manière dont le spouleur d'impression de Windows écrit dans le système de fichiers. À noter que la vulnérabilité critique n'a pas été divulguée publiquement avant correction et n'a apparemment pas été exploitée dans des attaques.
Cette correction intervient dans le cadre du Patch Tuesday de juillet qui comprend au total 11 mises à jour de sécurité dont 5 critiques et affectant Internet Explorer, Microsoft Edge, les moteurs de script JScript et VBScript (Windows Vista et Server 2008), Office 2007 à 2016, et donc le spouleur d'impression pour tous les Windows.
Quelle que soit la vulnérabilité, il n'est pas fait mention d'une exploitation dans la nature.
