Serveur d'impression

Microsoft Patches Wormable Vuln dans Windows 7, 2003, … – Bien choisir son serveur d impression

Par Titanfall , le 1 janvier 2020 - 5 minutes de lecture

Microsoft publie des mises à jour de sécurité pour certains systèmes non pris en charge pour corriger un bogue qui pourrait être transformé en ver s'il était exploité.

Aujourd'hui, Microsoft a pris la décision inhabituelle de publier des correctifs de sécurité pour les systèmes non pris en charge pour corriger une vulnérabilité qui, selon lui, pourrait être vermifugée si elle était exploitée. CVE-2019-0708 affecte les systèmes pris en charge Windows 7, Server 2008 et 2008 R2 et Windows 2003 et XP non pris en charge.

Il s'agit d'une faille critique d'exécution de code à distance dans les services Bureau à distance (RDS), anciennement connu sous le nom de services Terminal Server, qui affecte certaines anciennes versions de Windows. CVE-2019-0708 est une pré-authentification et ne nécessite aucune interaction de l'utilisateur, ce qui signifie que tout malware futur pourrait se propager sur des machines vulnérables.

Les attaquants authentifiés pourraient exploiter cette vulnérabilité en se connectant à un système cible via le protocole RDP (Remote Desktop Protocol) et en envoyant des demandes spécialement conçues. Microsoft dit que RDP lui-même n'est pas vulnérable; cependant, c'est un composant d'une chaîne d'attaque exploitant RDS. En cas de succès, un attaquant pourrait exécuter du code sur le système cible; installer des programmes; afficher, modifier ou supprimer des données; ou créez de nouveaux comptes avec des droits d'utilisateur complets. Le correctif d'aujourd'hui corrige la façon dont les services Bureau à distance traitent les demandes de connexion.

Simon Pope, directeur de la réponse aux incidents pour Microsoft Security Response Center, dit qu'il est "très probable" que des acteurs malveillants écrivent un exploit pour cette vulnérabilité et l'intègrent dans un malware. Microsoft n'a vu aucune preuve d'exploitation de CVE-2019-0708 dans la nature, mais il exhorte les entreprises à le mettre à jour immédiatement, avertissant que le bogue pourrait être armé comme un ver.

L'impact est limité aux anciennes versions de Windows qui ne sont plus prises en charge ou approchent du cycle de vie de fin de prise en charge. Les systèmes d'assistance vulnérables avec des mises à jour automatiques activées sont protégés. Les versions vulnérables non prises en charge peuvent trouver des conseils ici.

Il existe une atténuation partielle sur les systèmes affectés avec l'authentification au niveau du réseau (NLA) activée, explique Pope dans un article de blog. Ces systèmes sont protégés contre les logiciels malveillants vermifuges ou les menaces avancées qui pourraient exploiter cette vulnérabilité; NLA requiert une authentification avant que le vuln puisse être déclenché. Ces systèmes sont exposés à RCE si un attaquant dispose d'informations d'identification valides.

Il convient de noter que CVE-2019-0708 n'affecte pas les nouvelles versions de Windows, y compris Windows 10, 8.1 et 8, ainsi que Windows Server 2019, Server 2016, Server 2012 R2 et Server 2012.

CVE-2019-0708 n'est pas la seule vulnérabilité corrigée par Microsoft pour la mise à jour Patch Tuesday de ce mois-ci. La société a émis des correctifs pour 79 CVE, dont 22 ont été jugés critiques en termes de gravité et 57 ont été classés comme importants. Deux étaient connus du public; l'un est sous attaque active.

Le bogue abusé dans la nature est CVE-2019-0863, une vulnérabilité d'élévation de privilèges de rapport d'erreurs Windows (WER) qui existe dans la façon dont WER gère les fichiers. Les attaquants doivent d'abord obtenir une exécution non privilégiée sur un système victime pour exécuter une attaque. "L'exploitation de cette vulnérabilité pourrait conduire à l'exécution de code arbitraire en mode noyau, qui est généralement réservé aux fonctions de confiance du système d'exploitation", explique Satnam Narang, ingénieur de recherche senior chez Tenable. L'exploitation de CVE-2019-0863 permettrait également à un attaquant de visualiser, de modifier ou de supprimer des données, ou de créer de nouveaux comptes avec des privilèges d'administrateur.

"Bien que les détails sur l'utilisation de l'exploit ne soient pas disponibles, il est probablement utilisé dans des attaques limitées contre des cibles spécifiques", écrit Dustin Childs de Zero-Day Initiative de Trend Micro.

Contenu connexe:

Rejoignez Dark Reading LIVE pour deux sommets sur la cybersécurité à Interop 2019. Apprenez des experts en sécurité informatique les plus compétents de l'industrie. Consultez l'agenda d'Interop ici.

Kelly Sheridan est rédactrice en chef à Dark Reading, où elle se concentre sur les actualités et l'analyse de la cybersécurité. Elle est une journaliste spécialisée en technologie des affaires qui a précédemment travaillé pour InformationWeek, où elle a couvert Microsoft, et Insurance & Technology, où elle a couvert les finances … Voir la biographie complète

Plus d'informations

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.