Dans le cadre de son processus de mise à jour mensuel, Microsoft a publié un correctif pour une vulnérabilité particulièrement critique. Celle-ci impactait le Remote Desktop Services
qui permet d’ouvrir une session à distance sur un système.
Détails de la vulnérabilité
La vulnérabilité référencée CVE-2019-0708 provenait d’un manque de vérification sur les requêtes de connexion envoyées au service Remote Desktop Services
. Un attaquant distant et non authentifié avait la possibilité d’envoyer une requête spécifiquement forgée au service afin d’exécuter du code arbitraire sur le système. Il avait ensuite la possibilité de modifier le système (installation ou suppression de programmes, création de comptes privilégiés).
Une preuve de concept existe pour cette vulnérabilité, mais celle-ci n’est pas encore publique.
La vulnérabilité était exploitable sans aucune interaction humaine. D’après Microsoft, celle-ci était « wormable », c’est-à-dire qu’elle avait la possibilité d’être exploitée automatiquement et de se propager sur les serveurs vulnérables connectés.
Microsoft s’attend à de larges campagnes d’attaques opportunistes ou ciblées.
Versions affectées
- Windows XP (SP3 32 bits, SP2 Professional 64 bits, Embedded SP3 32 bits)
- Windows 7 (32 et 64 bits)
- Windows Server 2003 (32 et 64 bits)
- Windows Server 2008 (32 et 64 bits)
- Windows Server 2008 R2 64 bits, Itanium-based)
Versions non affectées
- Windows 8
- Windows 10
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Solutions de contournement
- Filtrer le trafic entrant sur le port TCP/3389.
- Activer le mécanisme NLA (Network Level Authentication) sur les postes / serveurs vulnérables.
Recommandations du CERT-XMCO
Le CERT-XMCO recommande l’installation des correctifs de sécurité suivants en urgence selon la version de Windows utilisée :
- Windows XP (SP3 32 bits, SP2 Professionel 64 bits, Embedded SP3 32 bits) : https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4500331
- Windows 7 (32 et 64 bits) : https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4499175
- Windows Server 2003 (32 et 64 bits) : https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4500331
- Windows Server 2008 (32 et 64 bits) : https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4499180
- Windows Server 2008 R2 : https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4499175
Références
https://leportail.xmco.fr/watch/advisory/CXA-2019-2205
https://leportail.xmco.fr/watch/advisory/CXA-2019-2212
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/