Depuis le début du mois de juillet 2021, Microsoft tente de combler plusieurs vulnérabilités dans le service de spouleur d’imprimante de Windows, regroupées sous le nom de « PrintNightmare ». Toutefois, la dernière tentative du patchday du 14 septembre entraîne des complications dans certains environnements d’impression, ce que Microsoft a également confirmé dans l’intervalle.
Il n’y a pas encore de solution uniforme, mais il existe des solutions de contournement pour résoudre le problème sans désinstaller les mises à jour. Les administrateurs doivent être conscients que les solutions de contournement décrites dans ce rapport ne sont que des solutions à court terme et temporaires qui devraient être définitivement résolues plus tard par des pilotes d’imprimante mis à jour et des améliorations apportées par Microsoft.
Lire aussi
Imprimantes « manquantes » et pannes
Peu après la publication des mises à jour de sécurité du jour du patch, plusieurs administrateurs d’environnements d’entreprise ont contacté l’auteur de cet article. Après les mises à jour, ils ont décrit que les imprimantes réseau partagées (par exemple dans les environnements de serveurs de terminaux) manquaient sur les clients Windows. Dans d’autres cas, les utilisateurs avaient soudainement besoin de droits administratifs pour installer ou mettre à jour les pilotes d’imprimante. Des collisions avec des erreurs d’arrêt ont également été observées. Les imprimantes de différents fabricants sont concernées par ces problèmes.
Certains administrateurs se sont sentis obligés de désinstaller les correctifs afin de maintenir l’infrastructure informatique en état de fonctionnement – une entreprise risquée, puisque les vulnérabilités de PrintNightmare sont maintenant exploitées pour des attaques de ransomware. Il n’existe pas encore de solution uniforme pour résoudre les problèmes d’impression, mais au moins certaines approches et solutions de contournement sont connues en attendant.
Microsoft : Confirmation du problème…
À partir du 17 septembre 2021, Microsoft a admis les problèmes fondamentaux causés par les mises à jour de septembre 2021 dans la zone d’état de Windows 10, dans l’entrée « Les informations d’identification de l’administrateur sont requises chaque fois que les apps tentent d’imprimer ». Les clients Windows de Windows 7 SP1 jusqu’à Windows 10 21H1 ainsi que les serveurs Windows de la version 2008 R2 SP1 jusqu’à Windows Server 2022 sont potentiellement affectés.
Description du problème : Pour certaines imprimantes qui utilisent la fonction Point and Print, la question « Do you trust this printer ? » apparaît après l’installation de la mise à jour dans certains environnements. Par conséquent, les droits d’administrateur étaient nécessaires pour installer les pilotes requis dès qu’une application essayait d’imprimer sur un serveur d’impression ou qu’un client d’impression essayait de se connecter à un serveur d’impression.
… et action recommandée (conditionnellement utile)
Selon Microsoft, ce comportement est dû au fait qu’un pilote d’imprimante du client d’impression et du serveur porte le même nom de fichier, mais que le serveur possède une version plus récente du fichier en question. Lorsque le client d’impression se connecte au serveur d’impression, il trouve un fichier de pilote plus récent et est invité à mettre à jour les pilotes sur le client d’impression. Cependant, le processus échoue car le paquet proposé au client pour l’installation ne contient pas la nouvelle version du fichier.
La suggestion de solution plutôt succincte de Microsoft : les administrateurs doivent s’assurer que les derniers pilotes sont installés pour toutes les imprimantes utilisées et, si possible, que les mêmes versions du pilote d’imprimante sont utilisées sur le client d’impression et le serveur d’impression. Ces conseils visent à garantir qu’en effectuant la mise à jour, les pilotes d’imprimante conformes au modèle de pilote V4 introduit avec Windows 8/Server 2012 sont installés et que tout problème survenant est résolu. Dans certains cas (par exemple, avec les appareils HP), il est également utile d’utiliser les pilotes d’imprimante universels pour contrôler l’imprimante.
Toutefois, cette ligne de conduite recommandée présente quelques inconvénients que Microsoft omet : si le fabricant de l’imprimante ne fournit pas de pilotes V4 plus récents, la solution du problème échoue. En outre, un administrateur peut être amené à mettre à jour les pilotes sur les serveurs de terminaux et les serveurs d’impression concernés avant que l’impression ne fonctionne à nouveau sans droits d’administrateur. Une autre difficulté peut survenir si les clients Linux et macOS doivent également imprimer sur les serveurs d’impression : Dans les environnements mixtes, les pilotes V3 sont parfois utilisés en cas de problèmes avec les pilotes d’imprimante V4.
Désactiver la contrainte de l’administrateur pendant l’installation de l’imprimante
Le fait que l’installation du pilote d’imprimante nécessite des autorisations d’administrateur avait déjà été introduit avec les mises à jour de sécurité de Windows d’août 2021. À cette fin, Microsoft a introduit les éléments suivants par le biais de la clé de registre
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTPrintersPointAndPrint
Microsoft a mis en place une politique pour activer (valeur par défaut) ou désactiver (si nécessaire) l’exigence de l’administrateur pour l’installation du pilote dans Point and Print. Si la valeur DWORD RestrictDriverInstallationToAdministrators=0 est définie, l’installation du pilote d’imprimante est à nouveau possible sans les autorisations de l’administrateur. Microsoft décrit ce problème dans l’article de support KB5005652.
Les administrateurs qui décident de prendre cette mesure doivent cependant, pour des raisons de sécurité, mettre en œuvre les mesures décrites dans l’article d’assistance pour spécifier les serveurs d’impression autorisés via la stratégie de groupe. Le site gruppenrichtlinien.de décrit les objets de stratégie de groupe correspondants, et dans un commentaire d’utilisateur sur le blog de l’auteur, un administrateur décrit comment il a sécurisé son environnement d’impression en conséquence. C’est le seul moyen d’empêcher que les vulnérabilités de PrintNightmare soient exploitées depuis Internet.
Solution de contournement de l’erreur 0x0000011b
Selon l’environnement, il peut arriver, après la mise à jour de sécurité de septembre 2021, que les imprimantes ne puissent plus être adressées ou qu’une erreur d’abandon (erreur 0x0000011b) se produise. S’il n’est pas possible de remédier à ce problème en mettant à jour le pilote, il ne reste qu’une deuxième solution, qui présente toutefois un certain risque pour la sécurité.
Le contexte de la faille est un changement effectué dans les mises à jour de sécurité de septembre 2021 pour fermer la vulnérabilité d’usurpation CVE-2021-1678. En janvier 2021, une mise à jour de sécurité a introduit la possibilité d’utiliser une nouvelle authentification pour la liaison Printer-RPC en lien avec cette vulnérabilité. Depuis lors, les administrateurs peuvent spécifier, par le biais d’une stratégie et d’une nouvelle clé de registre, si cette authentification est utilisée pour la liaison Printer-RPC.
En janvier 2021, les valeurs par défaut de la valeur de registre RpcAuthnLevelPrivacyEnabled étaient encore définies sur « inactif » par défaut pour donner aux administrateurs le temps de faire la transition. Avec la mise à jour de septembre, cette politique a été appliquée et, par conséquent, certains pilotes d’impression ne peuvent plus se connecter aux serveurs d’impression et peuvent échouer avec l’erreur d’arrêt 0x0000011b. Si cette erreur ne peut être résolue à court terme en mettant à jour les pilotes d’imprimante, les administrateurs peuvent définir les paramètres suivants dans la clé de registre
HKEY_LOCAL_MACHINESystemCurrentControlSetControlPrint
la valeur DWORD 32 bits RpcAuthnLevelPrivacyEnabled=0 set. Le spouleur d’imprimante doit alors être redémarré. La valeur modifiée supprime le mode de forçage, mais rend l’environnement à nouveau vulnérable à la vulnérabilité d’usurpation. Plusieurs réactions d’administrateurs à l’auteur de cet article ont confirmé que cette solution de contournement a été utile. Ceux qui choisissent de le faire doivent être conscients des dangers potentiels posés par CVE-2021-1678.
(ovw)