Le projet Rapid7 Metasploit a finalement publié un exploit pour la faille BlueKeep révélée dans la mise à jour de mai Patch mardi.
La faille BlueKeep a provoqué des avertissements de Microsoft et de toutes les agences d’espionnage Five Eye pour l’installation des correctifs de Microsoft.
Microsoft a également fourni des correctifs pour des versions non prises en charge de Windows, craignant que le bogue RDP de BlueKeep Remote Desktop ne soit aussi sévère que l’apparition du ransomware WannaCry de 2017 qui avait touché 300 000 PC dans le monde entier à l’aide de l’exploit EternalBlue, construit par la NSA. Les attaquants pourraient utiliser ces deux failles pour créer un ver infectant une machine vulnérable après une autre.
La Direction australienne des transmissions (ASD) a averti les administrateurs Windows en août de corriger «immédiatement» le bogue BlueKeep en prévision de la publication de Metasploit. Selon ASD, plus de 50 000 appareils en Australie étaient potentiellement vulnérables à la mi-août.
Le bogue RDP affecte les systèmes d'exploitation Windows Vista, Windows 7, Windows XP, Server 2003 et Server 2008, mais pas Windows 10.
Après la divulgation de BlueKeep, Rapid7 a détecté un pic d’analyses RDP malveillantes alors que les attaquants sondaient des systèmes potentiellement vulnérables.
Metasploit étant un projet open source, le module d’exploitation BlueKeep est désormais accessible aux défenseurs de la sécurité et aux attaquants. Cependant, Rapid7 affirme que sa publication est une ressource «critique» pour les défenseurs.
«L'accès démocratique aux capacités des attaquants, y compris les exploits, est essentiel pour les défenseurs, en particulier ceux qui s'appuient sur des outils open source pour comprendre et atténuer efficacement les risques», a écrit Brent Cook, cadre supérieur de Rapid7.
«L’un des éléments clés de notre publication du code d’exploitation aujourd’hui en tant que relation publique sur Metasploit Framework consiste à solliciter l’aide de la communauté mondiale des développeurs et des utilisateurs pour tester, vérifier et étendre la fiabilité dans des environnements cibles», at-il ajouté.
Lire la suite: La moitié des PME s'accrochent à Windows 7 malgré la date limite de janvier 2020
Plusieurs entreprises de sécurité ont déclaré avoir exploité des exploitations BlueKeep après la mise à jour de Microsoft en mai, mais il n’est pas étonnant qu’elles n’aient pas provoqué de cyber-attaques massives telles que WannaCry et NotPetya, qui coûtent globalement aux entreprises des milliards de dollars en dommages et en temps d’indisponibilité.
Bien que l'exploit BlueKeep puisse aider les attaquants, M. Cook note que l'exploit ne permet pas encore de cibler automatiquement différents systèmes. Il reste donc certains obstacles à son utilisation pour des attaques généralisées. Mais cette limitation sera probablement dépassée à l'avenir, à mesure que de nouveaux modules BlueKeep apparaîtront.
Dans son état actuel, les utilisateurs du module exploit doivent définir correctement la cible afin de compromettre le système, faute de quoi le système Windows cible se plantera simplement avec un écran bleu de la mort (BSOD).
«Les utilisateurs doivent également noter que certains éléments de l'exploit requièrent des connaissances sur la structure de la mémoire du noyau Windows, qui varie en fonction de la version du système d'exploitation et de la plate-forme hôte sous-jacente (virtuelle ou physique). l'utilisateur doit actuellement spécifier ceci correctement pour exécuter l'exploit avec succès », a expliqué Cook.
Lire la suite: Microsoft met en garde: quittez Windows 10 1703, pas de correctifs après le 9 octobre
«Les versions serveur de Windows nécessitent également une configuration autre que celle par défaut pour une exploitation réussie, à savoir la modification d'un paramètre de registre pour permettre le partage audio. Cette limitation pourrait être supprimée à l'avenir. "
BlueKeep n'est pas la seule menace liée aux vulnérabilités de RDP. Après une vérification après la divulgation de BlueKeep, des chercheurs de Microsoft ont découvert quatre autres failles analogues à BlueKeep, appelées DeJaBlue, qui affectaient toutes les versions de Windows 10, ainsi que Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2. Et cela signifie que cela sera probablement une source de nouvelles menaces à l'avenir.
«La complexité inhérente au protocole suggère que les bogues connus aujourd’hui ne seront pas les derniers, d’autant plus que les développeurs et les développeurs d’exploits ont désormais une compréhension plus nuancée de RDP et de ses faiblesses. Une exploitation continue est probable, de même qu'une sophistication accrue des exploitations », a déclaré Cook.
Faisant écho aux conseils de Microsoft, Rapid7 encourage tous les administrateurs Windows ayant RDP dans leur environnement à activer l'authentification au niveau du réseau et à renforcer les contrôles d'accès au réseau afin d'atténuer les vulnérabilités RDP futures telles que BlueKeep.
Lire la suite: Des faiblesses vermiformes de type BlueKeep touchent Windows 10: Microsoft demande un correctif immédiat
Étiquettes Microsoftwindows xpmetasploitRapid7Windows 10BlueKeep
Plus à propos AustralieMicrosoftNSARapid7
Commentaires
Laisser un commentaire