Mise à jour urgente ! Vulnérabilité Windows critique dans RDS (Remote Desktop Services)

Cybersécurité

Microsoft a publié un correctif pour une vulnérabilité présente dans RDS (Remote Desktop Services), et qui peut être exploitée à distance via RDP, sans authentification, et utilisée pour exécuter du code arbitraire.

remote desktop services

Il existe une vulnérabilité d’exécution de code à distance dans Remote Desktop Services (anciennement Terminal Services) lorsqu’un attaquant non authentifié se connecte au système cible à l’aide du RDP et envoie des requêtes spécialement conçues. Cette vulnérabilité est une pré-authentification et ne nécessite aucune interaction avec l’utilisateur. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur le système cible. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou encore créer de nouveaux comptes avec des droits utilisateur complets.

Rien que ça !

Les correctifs sont inclus dans les versions de Windows 7 et Windows 2008 (voir l’avis de sécurité pour obtenir la liste complète) dans le cadre du dernier Patch Tuesday de Microsoft. Des correctifs sont également disponibles pour les versions de Windows XP et Windows 2003 (voir les conseils pour obtenir la liste complète). Pour plus de détails sur le Patch Tuesday de ce mois-ci, ainsi que sur d’autres correctifs critiques, consultez l’analyse des SophosLabs.

La faille est considérée comme “wormable“, signifiant ainsi qu’elle a le potentiel d’être utilisée dans des malwares qui se propagent au sein des réseaux et entre ces derniers.

Des millions de réseaux informatiques dans le monde entier possèdent un RDP exposé au monde extérieur, leur permettant ainsi d’être gérés non seulement via leur réseau local, mais également via Internet. Parfois, cet accès externe a été activé de manière délibérée, parfois non, mais dans les deux cas, un réseau au niveau duquel le RDP peut être atteint de l’extérieur constitue une passerelle potentielle pour une attaque automatisée visant à cibler de nouvelles victimes.

Etant donné le nombre de cibles et le potentiel pour une propagation explosive et exponentielle, nous vous suggérons de traiter ce problème immédiatement, en partant du principe que le correctif fera l’objet d’une ingénierie inverse et qu’un exploit sera créé, vous devez donc mettre à jour dès que possible. Pour plus d’informations, consultez la section Quoi faire ? de cet article.

Le fait que Microsoft ait accepté, de façon exceptionnelle, de publier des correctifs pour Windows XP et Windows 2003 est très intéressant.

Compte tenu de l’impact potentiel sur les clients et leurs entreprises, nous avons décidé de rendre disponibles les mises à jour de sécurité pour les plateformes ne faisant plus partie du support standard. Nous recommandons aux clients utilisant l’un de ces systèmes d’exploitation de télécharger et d’installer la mise à jour dès que possible.  

Au cours des cinq années qui ont suivi la date de fin de vie de Windows XP et 2003, Microsoft a publié de nombreux correctifs, pour des problèmes critiques au sein de sa famille de systèmes d’exploitation, qui ne proposaient pas de retroportage pour ses produits arrêtés. Microsoft a enfreint cette règle de manière exceptionnelle dans quatre cas bien particuliers, dont celui-ci, et aussi lors de l’épidémie de WannaCry en 2017.

WannaCry est un ransomware de type ver (worm) qui s’est répandu dans le monde entier, en un jour, en exploitant une faille de la version 1 du logiciel Microsoft dédié aux PME. Le ver n’a eu aucun mal à trouver des centaines de milliers de systèmes Windows à infecter malgré l’âge du logiciel et un correctif qui avait été publié le mois précédent.

Comme pour démontrer notre échec collectif et continu à tirer la leçon de l’importance de la mise à jour, WannaCry a été suivi un peu plus d’un mois plus tard par NotPetya, une autre épidémie mondiale de ransomware utilisant le même exploit.

Quoi faire ?

Quoi que vous fassiez, mettez à jour vos systèmes le plus vite possible.

Si, pour une raison quelconque, vous ne pouvez pas installer le correctif immédiatement, Microsoft propose les solutions suivantes :

  • Activez Network Level Authentication (NLA). Cela oblige un utilisateur à s’authentifier avant que le RDP ne soit pris pour cible par un attaquant. Tous les systèmes affectés ne prennent pas en charge NLA.
  • Désactivez le RDP. Si le RDP n’est pas en cours d’exécution, la vulnérabilité ne peut pas être exploitée. Aussi évident que cela puisse paraître, certaines entreprises sont incapables de travailler sans RDP, et certaines l’utilisent sans s’en rendre compte.
  • Bloquez le port TCP 3389. Bloquer le port 3389 (et tous les autres ports que vous avez attribué au RDP) de manière périmétrique empêchera une attaque de pénétrer dans votre réseau mais ne pourra pas empêcher une attaque qui viendrait de l’intérieur de celui-ci.


Billet inspiré de UPDATE NOW! Critical, remote, ‘wormable’ Windows vulnerability, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.