Nouvelle release du MS16-087 dans le rollup de sécurité de Septembre 2017

  • Article

Vous avez certainement déjà sur votre parc la mise à jour de sécurité de Juillet 2016 le MS16-087 qui permet d'adresse la vulnérabilité CVE-2016-3238.

Pour éviter que des attaquants puissent utiliser le mécanise d'installation des pilotes d'impressions pour nuire ; le MS16-087 apporte une mise à jour des composants d'impressions plus restrictive vis-à-vis des pilotes d'impressions. Ces derniers doivent désormais être signés et packagés (notion de package aware qui date de Vista).

Toutefois, beaucoup de nos clients utilisent encore des versions de pilotes d'impressions qui ne satisfont pas les critères de sécurités cités plus haut. Il a fallu introduire une notion de liste de serveurs approuvés (liste blanche – white liste) pour débloquer la situation. Le contournement a été apporté dans une mise à jour de type non sécurité :

Windows 10 1511  KB3192441
Windows 10 1607  KB3194798
Windows 7 and Windows Server 2008 R2  KB3192403
Windows Server 2012  KB3192406
Windows 8.1 and Windows Server 2012 R2  KB3192404

La nouveauté est qu'à partir de ce mois-ci, le contournement est disponible dans le rollup de sécurité :

Windows 8.1 and Windows Server 2012 R2  https://support.microsoft.com/fr-fr/help/4038792/windows-8-1-update-kb4038792

Windows 7 and Windows Server 2008 https://support.microsoft.com/en-us/help/4038777/windows-7-update-kb4038777

Windows 8 and Windows Server 2012  https://support.microsoft.com/en-us/help/4038786

Pour rappel, vous trouverez ci-dessous les problèmes rencontrés, en l'absence du contournement, quand les pilotes d'impressions ne respectent pas les critères de sécurité.

Scénario I :

Pour les pilotes d'impression non packagés, le message d'avertissement suivant peut s'afficher lorsque l'utilisateur tente de se connecter à une imprimante : "Faites-vous confiance à cette imprimante ?"

Scénario II

Comme précisé, les pilotes d'impressions doivent être signés avec un certificat approuvé. Le processus de vérification contrôle si tous les fichiers inclus dans le dossier d'installation disposent d'un fichier hash correspondant dans le catalogue. En cas d'échec, le pilote est considéré comme non fiable. Dans ce cas, l'installation du pilote est bloquée, et le message d'avertissement suivant s'affiche : "Une stratégie est en application sur votre ordinateur et vous empêche de vous connecter à cette file d'attente d'impression. Contacter votre administrateur système"