Les 4 vulnérabilités découvertes sont exploitables à distance, sans authentification préalable et sans interaction de l’utilisateur via l’envoi de requêtes mal formées.
Nous évoquions en mai dernier la vulnérabilité BlueKeep référencée CVE-2019-0708 qui provenait d’un manque de vérification sur les requêtes de connexion envoyées au service Remote Desktop Services
. L’exploitation de cette vulnérabilité permettait à un attaquant distant non authentifié de prendre le contrôle du système.
Lors du Patch Tuesday d’août 2019, 4 nouvelles vulnérabilités référencées CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, et CVE-2019-1226 similaires à BlueKeep ont été découvertes par l’équipe de sécurité de Microsoft et sont exploitables à distance, sans authentification préalable et sans interaction de l’utilisateur via l’envoi de requêtes mal formées.
Comme BlueKeep, ces vulnérabilités sont « wormables », c’est-à-dire qu’elles ont la possibilité d’être exploitées automatiquement et de se propager sur les serveurs vulnérables connectés.
Les versions de Windows affectées sont les suivantes :
- Windows 7 SP1
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows 8.1
- Windows Server 2012 R2
- Windows 10, toutes les versions, y compris les versions serveur.
Le CERT-XMCO recommande l’application des correctifs de sécurité en urgence pour ces vulnérabilités et la plus grande vigilance à l’égard de codes d’exploitation qui pourraient être rendus publics.
Par ailleurs, la mise en place d’une authentification NLA (Network Level Authentication) permet de mitiger partiellement la vulnérabilité. Ainsi, l’ajout de cette authentification empêche l’exploitation de la vulnérabilité par un attaquant non authentifié. Toutefois, les systèmes affectés restent vulnérables si l’attaquant dispose d’informations d’authentification valides sur le système.
Références
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226
https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/