Pour vous rafraîchir la mémoire. BlueKeep est une vulnérabilité au niveau de l’implémentation du RDP (Remote Desktop Protocol) affectant Windows XP, Windows 7, Windows Server 2003 et Windows Server 2008.
Un attaquant qui l’exploite peut faire deux choses. Premièrement, il peut exécuter du code à distance sur la machine compromise. Deuxièmement, il peut utiliser le RDP pour exploiter d’autres machines sans aucune interaction humaine. C’est un ver (worm), et il représente un danger très sérieux, car il peut se propager seul, infectant potentiellement des centaines de milliers de machines, et ce très rapidement.
Le problème est de l’exploiter correctement. Lancer l’exécution de code sur des machines ciblées sans les faire planter est techniquement difficile. C’est pourquoi, même si Microsoft a reconnu l’existence de la vulnérabilité et l’a corrigée le 14 mai 2019, nous n’avons pas encore vu de ver BlueKeep se propager sur Internet.
Des exploits fonctionnels pour BlueKeep ont été développés par un certain nombre de pirates éthiques et d’entreprises de sécurité, y compris Sophos, qui ont tous décidé de garder les détails de ces derniers secrets.
Nous constatons que l’augmentation du nombre d’utilisateurs qui installent les correctifs est suivie par une augmentation du nombre d’exploits développés, rendant ainsi ce silence, qui permet de garder le code malveillant secret, plus que fragile.
Un expert technique a publié des exploits fonctionnels, tandis que d’autres viennent de publier des instructions détaillées sur la technique pour les développer.
Récemment, l’entreprise de sécurité Immunity Inc a affirmé avoir ajouté un module à son système d’exploitation automatisé CANVAS avec un exploit BlueKeep opérationnel.
New Release – CANVAS 7.23: This release features a new module for the RDP exploit, BLUEKEEP. Check out our video demonstration here: https://t.co/azCuJp1osI #bluekeep #cve20190708 #exploit
— Immunity Inc. (@Immunityinc) July 23, 2019
Un abonnement au service coûte cependant des dizaines de milliers de dollars, ce qui devrait le garder hors de portée des scripts kiddies.
Le même jour, un chercheur a publié une analyse technique détaillée de cette vulnérabilité, ainsi qu’un code PoC (proof of concept) Python, expliquant de quelle manière il était possible de combler le fossé technique actuel. L’analyse fait l’impasse sur la charge virale shellcode exécutable et n’explique pas où la placer, mais parle plutôt d’”exercices laissés aux lecteurs”. Cela dit, les codeurs se retrouvent tout de même dans une position plutôt avantageuse pour lancer des attaques exécutables.
Comme vous pouvez vous y attendre, les détails sont extrêmement techniques. BlueKeep est une vulnérabilité de type use-after-free, signifiant ainsi que le programme essaie d’utiliser la mémoire après sa suppression théorique. La vulnérabilité se situe dans termdd.sys
, qui est le pilote du noyau RDP. Un utilisateur peut l’exploiter en ouvrant une connexion RDP au niveau d’un ordinateur distant appelé channel (dans ce cas un channel RDP par défaut appelé MS_T210) et en lui envoyant des données spécialement conçues.
L’exploit utilise du code sous Windows XP, selon eux, mais ils avertissent qu’il fera planter probablement les ordinateurs Windows 7 ou Server 2008.
Ils ont justifié la publication de ces informations en affirmant que celles-ci sont “largement disponibles au sein de la communauté des hackers chinois”. Ils font peut-être référence à une série de slides en chinois, qu’un individu a récemment posté sur GitHub, expliquant à priori comment exploiter cette vulnérabilité et exécuter le code distant.
Nous ne faisons pas de lien vers l’un des référentiels de GitHub ici, car pourquoi faciliter le développement d’un ver ? Par contre, ils sont assez faciles à trouver pour quiconque souhaiterait développer un exploit.
Combien de personnes pourraient être touchées par un exploit opérationnel ? Le 2 juillet 2019, une entreprise de sécurité BitSight a analysé 805 665 ordinateurs vulnérables, contre près d’un million en mai dernier. C’est inquiétant, car cela montre qu’il n’y a pas assez de personnes qui corrigent leur système. Le message est donc clair : Si vous utilisez Windows XP, 7, Server 2003 ou Server 2008, s’il vous plaît, corrigez vos systèmes dès maintenant !
Plus de détails sur les attaques RDP
BlueKeep n’est pas le seul problème auquel sont confrontées les machines exécutant RDP. Des recherches récentes menées par Sophos ont montré que les cybercriminels lançaient chaque jour un nombre considérable d’attaques de détection de mots de passe RDP simples mais efficaces visant des machines Windows en ligne.
Anna Brading a parlé à Matt Boddy, Ben Jones et Mark Stockley au sujet de leur recherche dans le podcast Naked Security, intitulé RDP Exposed.
Écoutez-le dès maintenant et dites-nous ce que vous pensez !
Pour obtenir plus de détails sur notre recherche RDP, visitez notre blog Sophos, ou bien lisez le rapport complet.
Billet inspiré de BlueKeep guides make imminent public exploit more likely, sur Sophos nakedsecurity.