Des guides pour utiliser BlueKeep rendent son exploitation publique imminente

Cybersécurité

L’utilisation d’un exploit public concernant la vulnérabilité apocalyptique de Microsoft, BlueKeep, n’est qu’une question de jours. En fait, pour ceux qui se sont donnés les moyens, c’est déjà possible !

bluekeep

Pour vous rafraîchir la mémoire. BlueKeep est une vulnérabilité au niveau de l’implémentation du RDP (Remote Desktop Protocol) affectant Windows XP, Windows 7, Windows Server 2003 et Windows Server 2008.

Un attaquant qui l’exploite peut faire deux choses. Premièrement, il peut exécuter du code à distance sur la machine compromise. Deuxièmement, il peut utiliser le RDP pour exploiter d’autres machines sans aucune interaction humaine. C’est un ver (worm), et il représente un danger très sérieux, car il peut se propager seul, infectant potentiellement des centaines de milliers de machines, et ce très rapidement.

Le problème est de l’exploiter correctement. Lancer l’exécution de code sur des machines ciblées sans les faire planter est techniquement difficile. C’est pourquoi, même si Microsoft a reconnu l’existence de la vulnérabilité et l’a corrigée le 14 mai 2019, nous n’avons pas encore vu de ver BlueKeep se propager sur Internet.

Des exploits fonctionnels pour BlueKeep ont été développés par un certain nombre de pirates éthiques et d’entreprises de sécurité, y compris Sophos, qui ont tous décidé de garder les détails de ces derniers secrets.

Nous constatons que l’augmentation du nombre d’utilisateurs qui installent les correctifs est suivie par une augmentation du nombre d’exploits développés, rendant ainsi ce silence, qui permet de garder le code malveillant secret, plus que fragile.

Un expert technique a publié des exploits fonctionnels, tandis que d’autres viennent de publier des instructions détaillées sur la technique pour les développer.

Récemment, l’entreprise de sécurité Immunity Inc a affirmé avoir ajouté un module à son système d’exploitation automatisé CANVAS avec un exploit BlueKeep opérationnel.

Un abonnement au service coûte cependant des dizaines de milliers de dollars, ce qui devrait le garder hors de portée des scripts kiddies.

Le même jour, un chercheur a publié une analyse technique détaillée de cette vulnérabilité, ainsi qu’un code PoC (proof of concept) Python, expliquant de quelle manière il était possible de combler le fossé technique actuel. L’analyse fait l’impasse sur la charge virale shellcode exécutable et n’explique pas où la placer, mais parle plutôt d’”exercices laissés aux lecteurs”. Cela dit, les codeurs se retrouvent tout de même dans une position plutôt avantageuse pour lancer des attaques exécutables.

Comme vous pouvez vous y attendre, les détails sont extrêmement techniques. BlueKeep est une vulnérabilité de type use-after-free, signifiant ainsi que le programme essaie d’utiliser la mémoire après sa suppression théorique. La vulnérabilité se situe dans termdd.sys, qui est le pilote du noyau RDP. Un utilisateur peut l’exploiter en ouvrant une connexion RDP au niveau d’un ordinateur distant appelé channel (dans ce cas un channel RDP par défaut appelé MS_T210) et en lui envoyant des données spécialement conçues.

L’exploit utilise du code sous Windows XP, selon eux, mais ils avertissent qu’il fera planter probablement les ordinateurs Windows 7 ou Server 2008.

Ils ont justifié la publication de ces informations en affirmant que celles-ci sont “largement disponibles au sein de la communauté des hackers chinois”. Ils font peut-être référence à une série de slides en chinois, qu’un individu a récemment posté sur GitHub, expliquant à priori comment exploiter cette vulnérabilité et exécuter le code distant.

Nous ne faisons pas de lien vers l’un des référentiels de GitHub ici, car pourquoi faciliter le développement d’un ver ? Par contre, ils sont assez faciles à trouver pour quiconque souhaiterait développer un exploit.

Combien de personnes pourraient être touchées par un exploit opérationnel ? Le 2 juillet 2019, une entreprise de sécurité BitSight a analysé 805 665 ordinateurs vulnérables, contre près d’un million en mai dernier. C’est inquiétant, car cela montre qu’il n’y a pas assez de personnes qui corrigent leur système. Le message est donc clair : Si vous utilisez Windows XP, 7, Server 2003 ou Server 2008, s’il vous plaît, corrigez vos systèmes dès maintenant !

Plus de détails sur les attaques RDP

BlueKeep n’est pas le seul problème auquel sont confrontées les machines exécutant RDP. Des recherches récentes menées par Sophos ont montré que les cybercriminels lançaient chaque jour un nombre considérable d’attaques de détection de mots de passe RDP simples mais efficaces visant des machines Windows en ligne.

Anna Brading a parlé à Matt Boddy, Ben Jones et Mark Stockley au sujet de leur recherche dans le podcast Naked Security, intitulé RDP Exposed.

Écoutez-le dès maintenant et dites-nous ce que vous pensez !

Pour obtenir plus de détails sur notre recherche RDP, visitez notre blog Sophos, ou bien lisez le rapport complet.


Billet inspiré de BlueKeep guides make imminent public exploit more likely, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.