Exploit RDP BlueKeep : Une très bonne raison de mettre à jour dès à présent votre système !

Cybersécurité

Il y a environ six semaines, Microsoft a pris la décision très inhabituelle d’inclure, dans le Patch Tuesday du mois de mai, un correctif pour les systèmes d’exploitation qu’il ne prend plus en charge.

bluekeep

Une telle initiative, de la part du géant du logiciel, est plutôt rare et est a été lancée que très peu de fois auparavant. Ainsi, lorsque cela se produit, nous pouvons considérer qu’il s’agit d’un signal clair indiquant qu’un évènement très sérieux est en train de se passer. Dans ce cas, le danger venait de CVE-2019-0708, une vulnérabilité RDP très sérieuse, qui a finalement pris le nom de BlueKeep.

Le RDP (Remote Desktop Protocol) est ce qui permet aux utilisateurs de contrôler les machines Windows par le biais d’une interface utilisateur graphique intégrale, via Internet. Les millions de machines connectées à Internet et utilisant le RDP peuvent être des serveurs cloud hébergés ou des ordinateurs de bureau Windows utilisés par les employés distants, et chacune d’elles est une passerelle potentielle pour accéder au réseau interne d’une entreprise.

La vulnérabilité BlueKeep de type ver informatique (worm), annoncée par Microsoft avec la publication de correctifs pour se protéger, pourrait théoriquement être utilisée pour exécuter le code d’attaquants potentiels sur chacune de ces machines, sans nom d’utilisateur ni mot de passe.

Le seul espoir qui a accompagné la publication des correctifs du mois de mai dernier était que CVE-2019-0708 était difficile à exploiter. Cette difficulté a laissé aux entreprises du temps pour se protéger vis-à-vis de BlueKeep avant que des cybercriminels ne découvrent comment l’utiliser de manière malveillante. De plus, il semblerait qu’elle soit difficile à traiter par ingénierie inverse.

Mais cet espoir n’a été que de courte durée.

Depuis que CVE-2019-0708 a été divulguée au public, quelques entreprises et chercheurs en sécurité ont affirmé de manière crédible avoir la capacité de l’exploiter avec succès.

Parmi elles, Sophos, qui a révélé aujourd’hui l’existence de son propre PoC (Proof-of-Concept) de l’exploit concernant CVE-2019-0708.

Le PoC, décrit par Kevin Beaumont comme “incroyable“, a été créé par l’équipe Offensive Security des SophosLabs.

Le code est évidemment trop dangereux pour être divulgué publiquement, ainsi les SophosLabs ont enregistré une vidéo montrant l’exploit, sans fichier, utilisé pour obtenir le contrôle total d’un système distant et ce sans authentification.

Le PoC aidera Sophos à comprendre comment des cybercriminels pourraient exploiter la vulnérabilité CVE-2019-0708.

Alors, pourquoi publier la preuve de ce PoC ?

Nous espérons que cette vidéo convaincra les personnes et les entreprises qui n’ont toujours pas installé de mises à jour que cette vulnérabilité BlueKeep constitue une menace sérieuse.  

Vous pouvez en savoir plus sur l’exploit BlueKeep des SophosLabs sur notre site Sophos News. N’hésitez pas à le visiter … après avoir patché votre système !


Billet inspiré de RDP BlueKeep exploit shows why you really, really need to patch, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.