www.belgium.be Logo of the federal government

Windows RDP : Vulnérabilité permettant une exécution de code arbitraire à distance

Référence: 
Advisory #2019-013
Version: 
1.0
Logiciels concernés : 
Windows 7
Windows 2008 & 2008 R2
Windows XP
Windows 2003
Type: 
Exécution de code arbitraire à distance
CVE/CVSS: 

CVE-2019-0708 - CVE Score: 9.8

Sources

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Risques

Une compromission complète de la disponibilité du système, de la confidentialité des données du système et/ou de l'intégrité du système. Il existe aussi une forte probabilité que les systèmes compromis fassent partie d'un vecteur d'attaque plus large similaire à ce qui a été observé en 2017 dans le cas de Wannacry.

Description

Un acteur malveillant non authentifié peut exécuter du code arbitraire à distance en créant une requête malveillante via laquelle il peut exploiter une des vulnérabilités du service Microsoft Windows RDP. Le fait que Microsoft ait choisi de fournir des correctifs pour Windows 2003 et Windows XP démontre à quel point cette vulnérabilité est critique et l'urgence pour les administrateurs système d'appliquer les correctifs nécessaires.

Les versions plus récentes de Windows (à partir de Windows 8 et Server 2012) ne sont pas affectées.

Actions recommandées

Le CERT.be recommande aux administrateurs système de mettre à jour leur système d’exploitation Windows le plus rapidement possible en installant les derniers patchs mis à disposition :

•    Windows 7 & Server 2008(R2) : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

•    Windows XP and 2003 : https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

 

Si le patch ne peut pas être appliqué immédiatement, vous pouvez appliquer plusieurs mesures d'atténuation :

•    Désactiver le RDP s’il n'est pas utilisé.

•    Activer l'authentification au niveau réseau (NLA) sur les systèmes exécutant les éditions prises en charge de Windows 7, Windows Server 2008 et Windows Server 2008 R2. Cela nécessiterait qu'un acteur malveillant compromette un compte utilisateur valide afin d'exploiter ces vulnérabilités.

•    Le blocage du port TCP 3389 au niveau du pare-feu du périmètre de l'entreprise atténuera l'exploitation à distance. (Notez que ceci ne fournit aucune atténuation pour l'exploitation à partir du réseau de l'entreprise.)

•    Configurez des stratégies de pare-feu basées sur l'hôte pour limiter les connexions RDP à un ensemble limité d'adresses IP afin de permettre seulement aux administrateurs système de se connecter