CVE-2026-23669 : le Print Spooler Windows reprend du service, pour le pire

Illustration CVE-2026-23669 Print Spooler Windows — Une nouvelle RCE dans le spooler d'impression Windows. Comme si l'histoire n'avait pas déjà assez mal vieilli.

Le service Windows Print Spooler continue de s'accrocher à son statut de relique dangereuse dans les systèmes d'information modernes. Avec la CVE-2026-23669, Microsoft corrige une nouvelle vulnérabilité d'exécution de code à distance touchant ce composant décidément incapable de rester discret.

Ce n’est pas juste un bug embarrassant de plus dans un service historique. C’est une faille qui rappelle, encore une fois, qu’un composant présent partout, souvent activé par défaut, et exécuté avec des privilèges élevés, reste une cible idéale pour un attaquant qui veut accélérer sa progression dans un réseau Windows.

Ce que l’on sait sur la vulnérabilité

La CVE-2026-23669 affecte le spouleur d’impression Windows et permet une exécution de code à distance dans le contexte du service.

En pratique, cela signifie qu’un attaquant capable d’interagir avec ce composant sur le réseau peut exploiter la faille pour obtenir l’exécution de code avec des privilèges élevés, souvent dans le contexte :

NT AUTHORITY\SYSTEM

Et là, la journée devient moins agréable pour l’équipe infra. Parce qu’une RCE sur un service aussi répandu, ce n’est pas une anomalie technique anodine. C’est potentiellement une porte d’entrée, un point de pivot, ou un tremplin vers un mouvement latéral plus large.

Pourquoi cette CVE est importante

Le Print Spooler est présent sur une grande partie du parc Windows.
Il reste souvent activé par défaut, même là où il n’a aucune utilité.
Le service fonctionne avec des privilèges élevés.
Il constitue un vecteur d’attaque récurrent depuis plusieurs années.

En clair, cette vulnérabilité n’est pas seulement critique à cause de son score ou de son intitulé. Elle l’est parce qu’elle touche un composant omniprésent que beaucoup d’organisations laissent tourner “au cas où”. Une philosophie technique admirablement inefficace.

Scénario d’exploitation plausible

Un attaquant obtient un premier accès à un environnement Windows.
Il repère des machines sur lesquelles le service Spooler est actif.
Il exploite la vulnérabilité à distance via les interfaces exposées du service.
Le code malveillant s’exécute avec des privilèges élevés.
Il poursuit sa progression vers des serveurs sensibles ou des comptes à privilèges.

Point d’attention : dans un environnement Active Directory, un service exposé, ancien et privilégié reste un excellent facilitateur de mouvement latéral. Le Print Spooler a déjà prouvé par le passé qu’il pouvait remplir ce rôle avec une régularité presque artistique.

Remédiation recommandée

La remédiation de référence est simple sur le principe, même si elle déclenche parfois des soupirs dans les équipes d’exploitation : appliquer les correctifs de sécurité Microsoft publiés pour mars 2026.

Actions de remédiation

Déployer les correctifs sur l’ensemble des systèmes Windows supportés.
Prioriser les serveurs d’impression, les serveurs exposés et les postes d’administration.
Vérifier que les correctifs sont effectivement installés via vos outils de gestion de parc.
Inclure le service Spooler dans les revues de durcissement système.

Action de remédiation : déployer sans délai le correctif Microsoft sur tous les systèmes concernés, en traitant en priorité les serveurs et postes à privilèges.

Quick win : atténuation immédiate du risque

La meilleure atténuation rapide consiste à désactiver le service Print Spooler partout où il n’est pas strictement nécessaire. Cela concerne très souvent :

les contrôleurs de domaine,
les serveurs applicatifs,
les serveurs d’administration,
les jump servers,
une partie des serveurs de production.

Une machine qui n’imprime pas n’a généralement aucune raison d’exposer ce service. Ce concept paraît presque insultant par sa simplicité, et pourtant il reste trop rarement appliqué.

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Quick win : désactiver immédiatement le service Spooler sur tous les systèmes qui n’ont pas besoin d’imprimer. C’est la mesure la plus rapide pour réduire la surface d’attaque sans attendre un cycle de remédiation complet.

Mesures complémentaires

Segmenter les serveurs d’impression et limiter leur exposition réseau.
Restreindre les flux RPC lorsque cela est possible.
Surveiller les appels inhabituels au service Spooler.
Auditer régulièrement les systèmes où le service reste actif sans justification métier.

Conclusion

La CVE-2026-23669 rappelle une évidence que l’on redécouvre à chaque nouvel incident lié au spooler : les vieux composants omniprésents restent souvent les plus utiles aux attaquants.

Entre la correction officielle et la réduction immédiate de la surface d’attaque, la feuille de route est assez claire : patcher vite, et désactiver ce qui ne sert à rien.

Finalement, le Print Spooler continue de faire exactement ce qu’on attend de lui depuis des années : générer plus de travail pour les équipes sécurité que pour les imprimantes.

Source : veille technique et analyse ADNC

Ce que l’on sait sur la vulnérabilité

Pourquoi cette CVE est importante

Scénario d’exploitation plausible

Remédiation recommandée

Actions de remédiation

Quick win : atténuation immédiate du risque

Mesures complémentaires

Conclusion

À lire aussi

Phishing en entreprise : une plongée dans la détection et l’analyse d’un mail malveillant

Google met en garde contre la vulnérabilité CVE-2024-43093 activement exploitée dans le système Android

RustyAttr Trojan : Le nouveau malware macOS du groupe Lazarus se rit des antivirus

Des commits malveillants sur GitHub : Une tentative de portes dérobées dans vos projets open source