CVE-2019-1181 et -1182 sont des vulnérabilités critiques dans Remote Desktop Services (anciennement Windows terminal) qui sont de type ver (worm), similaires à la vulnérabilité BlueKeep pour laquelle des exploits ont déjà été créés. De type ver (worm) signifie que l’exploit pourrait, en théorie, être utilisé non seulement pour pénétrer dans un ordinateur, mais également pour se propager à partir de ce dernier.
Ces nouvelles vulnérabilités, que Microsoft a découvertes alors qu’il renforçait le RDS, peuvent être exploitées sans intervention de l’utilisateur en envoyant un message RDP (Remote Desktop Protocol) spécialement conçu à RDS. Une fois à l’intérieur, un attaquant pourrait installer des programmes, modifier ou supprimer des données, créer de nouveaux comptes avec tous les droits, et bien plus encore. CVE-2019-1222 et -1226 désignent également ces failles.
Contrairement à BlueKeep, ces nouvelles vulnérabilités RDP affectent Windows 10, y compris les versions pour serveur, ainsi que Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1 et Windows Server 2012 R2.
Microsoft a déclaré que ces vulnérabilités n’avaient pas encore été exploitées sur le terrain, mais a fortement incité ses clients à prendre une longueur d’avance en corrigeant rapidement les problèmes :
Il est important que les systèmes affectés soient patchés le plus rapidement possible en raison des risques élevés associés aux vulnérabilités de type worm comme celles-ci. Vous trouverez les téléchargements appropriés dans le Guide des Mises à Jour de Sécurité de Microsoft.
Les ordinateurs disposant du NLA (Network Level Authentication) sont en partie protégés, car les cybercriminels doivent s’authentifier avant de faire une demande, signifiant ainsi qu’une attaque ne pourra pas se propager sans une interaction humaine sur des systèmes où le NLA est activé.
Microsoft a également corrigé plusieurs autres bugs critiques dans ce Patch Tuesday, notamment une vulnérabilité d’exécution de code à distance (RCE) dans le moteur de script d’Internet Explorer (CVE-2019-1133 et -1194). Les pirates peuvent exploiter ce bug via un site web spécialement conçu ou en envoyant un contrôle ActiveX malveillant marqué “Safe for initialization” à tout programme MS Office utilisant le moteur de rendu Internet Explorer.
Les utilisateurs d’Edge n’ont pas été épargnés. Un bug similaire (CVE-2019-1131, -1139 à -1141 et CVE-2019-1195 à -1197) a été détecté dans le moteur de script Chakra de ce dernier. Il permet l’exécution de code à distance dans le contexte utilisateur actuel. Il est exploitable via des sites web malveillants.
Microsoft a corrigé un bug RCE critique dans son hyperviseur Hyper-V (CVE-2019-0720), qui exploite une validation d’entrée insuffisante dans le commutateur réseau (Network Switch) d’Hyper-V et pourrait être exploité par une application malveillante s’exécutant dans l’OS invité. Il existe également des bugs de déni de service (DDS) corrigés dans Hyper-V.
CVE-2019-0736, -0965 et -1213 sont des bugs RCE dans le serveur DHCP Windows qu’un attaquant peut exploiter en envoyant des réponses DHCP malveillantes à un client, tandis que CVE-2019-1188 constitue une faille dans la manière dont Windows traite les fichiers avec une extension .LNK. Les fichiers LNK pointent vers des fichiers exécutables, mais un traitement inapproprié permet l’exécution de code à distance. Les attaquants pourraient exploiter ce bug via des lecteurs amovibles ou des partages distants.
Des failles dans la manière dont Windows traite les polices (CVE-2019-1145 et -1149 à -1152) permettent à un attaquant, incorporant des polices conçues de manière malveillante dans un site web ou un fichier, d’exécuter du code à distance sur le système.
Des bugs étaient également présents dans Microsoft Office. Une faille (CVE-2019-1199-1200) dans la façon dont Outlook traite les objets en mémoire aurait permis à un attaquant d’exécuter du code à distance en utilisant un fichier malveillant envoyé par courrier électronique ou par un site web. Le volet de visualisation d’Outlook constitue un vecteur d’attaque, tout comme un autre bug présent dans Microsoft Word (CVE-2019-1201 et -1205) qui aurait permis l’exécution de code à distance à partir de documents Word conçus de manière malveillante.
Le dernier bug critique de cette série était CVE-2019-1183, une faille dans le moteur VBScript de Windows qui aurait permis aux sites web ou aux objets ActiveX malveillants de déclencher l’exécution de code à distance sur le système cible. Cependant, Microsoft est en train de se débarrasser de VBScript basé sur le navigateur et l’a maintenant désactivé par défaut au sein d’Internet Explorer 11 dans cette série de mises à jour.
Billet inspiré de Patch time! Microsoft warns of new worm-ready RDP bugs, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.