Bluekeep: Windows RDP, Vulnérabilité permettant une exécution de code arbitraire à distance V2
CVE: CVE-2019-0708, CVE-2019-118, CVE-2019-11821, CVE-2019-1222, CVE-2019-1226 - CVE Score: 9.8
Sources
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226
Risques
Cette vulnérabilité RDP a été surnommée "Bluekeep". Une preuve de vulnérabilité(Poc) est maintenant disponible, ce qui augmente le risque d'exploitation de la vulnérabilité. CERT.be recommande un mise à jour au plus vite possible.
Une compromission complète de la disponibilité du système, de la confidentialité des données du système et/ou de l'intégrité du système. Il existe aussi une forte probabilité que les systèmes compromis fassent partie d'un vecteur d'attaque plus large similaire à ce qui a été observé en 2017 dans le cas de Wannacry.
Description
Un attaquant non authentifié peut exécuter à distance du code arbitraire via une requête malveillante, ce qui conduit à l'exploitation des vulnérabilités du service Microsoft Windows RDP. Le fait que Microsoft ait choisi de fournir des correctifs pour Windows 2003 et Windows XP démontre à quel point cette vulnérabilité est critique et l'urgence pour les administrateurs système d'appliquer les correctifs nécessaires.
Les versions plus récentes de Windows (à partir de Windows 8 et Server 2012) ne sont pas affectées.
Update 14/08/2019: Toutes les versions de Microsoft Windows à part XP et 2003 sont concernées par les vulnérabilités suivantes :
• CVE-2019-1181
• CVE-2019-1182
• CVE-2019-1222
• CVE-2019-122
Actions recommandées
Le CERT.be recommande aux administrateurs système de mettre à jour leur système d’exploitation Windows le plus rapidement possible en installant les derniers patches mis à disposition :
- CVE-2019-0708 pour Windows 7 & Server 2008(R2) : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
- CVE-2019-0708 pour Windows XP & 2003 : https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
Update 14/08/2019:
- CVE-2019-1181 & CVE-2019-1182 pour toutes les versions de Windows sauf XP & 2003: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
- CVE-2019-1222 & CVE-2019-1226 pour toutes les versions de Windows sauf XP & 2003: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
Si le patche ne peut pas être appliqué immédiatement, vous pouvez appliquer plusieurs mesures d'atténuation :
- Désactiver le RDP s’il n'est pas utilisé
- Activer l'authentification au niveau réseau (NLA) sur les systèmes exécutant les éditions prises en charge de Windows 7, Windows Server 2008 et Windows Server 2008 R2. Cela nécessiterait qu'un acteur malveillant compromette un compte utilisateur valide afin d'exploiter ces vulnérabilités.
- Le blocage du port TCP 3389 au niveau du pare-feu du périmètre de l'entreprise atténuera l'exploitation à distance. (Notez que ceci ne fournit aucune atténuation pour l'exploitation à partir du réseau de l'entreprise.)
- Configurez des stratégies de pare-feu basées sur l'hôte pour limiter les connexions RDP à un ensemble limité d'adresses IP afin de permettre aux seuls administrateurs système de se connecter.