Le Spouleur d'impression de Windows - Une histoire mouvementée

Introduction

Le Spouleur d’impression (Print Spooler en anglais) du système d’exploitation Microsoft Windows est un service permettant la gestion des tâches d’impression. L’éxécutable de ce service est spoolsv.exe et ce service est actif par défaut sur la plupart des systèmes Microsoft Windows.

Il a été impacté par un grand nombre de vulnérabilités aucours des dernières années, et constituait le vecteur de propagation du virus Stuxnet développé par les Etats Unis. Au vu du nombre de vulnérabilités trouvées sur ce service activé par défaut et de son exploitation par des acteurs étatiques, nous pouvons nous demander si son activation par défaut n’est pas intentionnelle.

Récemment, un grand nombre de nouvelles vulnérabilités critiques ont été publiées. La CVE-2021-1675 (également appellée PrintNightmare) et la CVE-2021-34527 ne sont que les plus médiatisées récemment.

Vous pouvez retrouver tous les bulletins d’information publiés par Microsoft sur ces vulnérabilités grâce au Google Dork suivant :

site:msrc.microsoft.com inurl:vulnerability intext:'print spooler'

Liste des vulnérabilités par année

Voici la liste des vulnérabilités connues sur le service du spouleur d’impression :

2016

CVE-2016-3238

To exploit the CVE-2016-3238: Windows Print Spooler Remote Code Execution Vulnerability, an attacker must be able to execute a man-in-the-middle (MiTM) attack on a workstation or print server, or set up a rogue print server on a target network. The update addresses the vulnerability by issuing a warning to users who attempt to install untrusted printer drivers.

• Liens additionels:
  • Microsoft Security Bulletin MS16-087

CVE-2016-3239

CVE-2016-3239: Windows Print Spooler Elevation of Privilege Vulnerability

2020

CVE-2020-1030

CVE-2020-1030: Windows Print Spooler Elevation of Privilege Vulnerability

CVE-2020-1337

CVE-2020-1337: Windows Print Spooler Elevation of Privilege Vulnerability

CVE-2020-17014

CVE-2020-17014: Windows Print Spooler Elevation of Privilege Vulnerability

CVE-2020-17042

CVE-2020-17042: Windows Print Spooler Remote Code Execution Vulnerability

2021

CVE-2021-1640

CVE-2021-1640: Windows Print Spooler Elevation of Privilege Vulnerability

CVE-2021-1675

CVE-2021-1675: Windows Print Spooler Remote Code Execution Vulnerability

CVE-2021-1695

CVE-2021-1695: Windows Print Spooler Elevation of Privilege Vulnerability

CVE-2021-34481

CVE-2021-34481: Windows Print Spooler Remote Code Execution Vulnerability

CVE-2021-34527

CVE-2021-34527: Windows Print Spooler Remote Code Execution Vulnerability

CVE-2021-36936

CVE-2021-36936: Windows Print Spooler Remote Code Execution Vulnerability

CVE-2021-36947

CVE-2021-36947: Windows Print Spooler Remote Code Execution Vulnerability

Remédiations

Afin de pallier à ces vulnérabilités, il est vivement conseillé de désactiver le service du spouleur d’impression sur les serveur qui ne l’utilisent pas.

Références

• https://www.blackhat.com/html/webcast/05202021-a-decade-after-stuxnets-printer-vulnerability-printing-is-still-the-stairway-to-heaven.html
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-rprn/d42db7d5-f141-4466-8f47-0a4be14e2fc1
• https://docs.microsoft.com/fr-fr/defender-for-identity/cas-isp-print-spooler
• https://www.blackhat.com/html/webcast/05202021-a-decade-after-stuxnets-printer-vulnerability-printing-is-still-the-stairway-to-heaven.html