Serveur d'impression

L'agence de sécurité nationale des États-Unis émet un avis sur la faille Windows Bluedskeep RDS – Redmondmag.com – Bien choisir son serveur d impression

Le 5 mars 2020 - 6 minutes de lecture

Nouvelles

L'agence de sécurité nationale des États-Unis émet un avis sur la faille Windows Bluedskeep RDS

L'agence de sécurité nationale des États-Unis (NSA) a publié mardi un avis invitant les particuliers et les organisations à installer les correctifs de sécurité de Microsoft en mai.

L'agence, qui effectue une surveillance électronique, a cité l'avertissement de Microsoft du 14 mai concernant une vulnérabilité logicielle "vermifuge" (CVE-2019-0708) dans les services Bureau à distance (RDS) de Microsoft. Les chercheurs en sécurité ont donné à cette vulnérabilité le surnom de «BlueKeep». La NSA a laissé entendre que ce n'était "probablement qu'une question de temps avant que le code d'exploitation à distance ne soit largement disponible" pour les attaquants.

Cette vulnérabilité pourrait permettre des attaques d'exécution de code à distance sur des systèmes Windows plus anciens, notamment Windows 7, Windows Server 2008 et Windows Server 2008 R2. Microsoft a également publié des correctifs pour les systèmes Windows XP et Windows 2003 non pris en charge, qui peuvent être téléchargés à partir de l'article de support Microsoft KB4500705.

Jusqu'à présent, les chercheurs testant des exploits pour CVE-2019-0708 ont réussi à provoquer des blocages d'écran bleu sur les systèmes, selon un résumé Twitter compilé par le chercheur en sécurité Kevin Beaumont. Cependant, il a noté que McAfee était en mesure d'exécuter du code à distance sur un système lors d'une démonstration de validation de principe.

Les correctifs de mai de Microsoft offrent une protection contre les exploits potentiels, qui n'ont pas encore été décrits comme étant entre les mains des attaquants. Cependant, d'autres mesures peuvent également être prises, comme décrit par la NSA, faisant écho aux conseils de Microsoft. Par exemple, il est possible de désactiver le RDS, utilisé pour les connexions réseau des appareils distants, s'il n'est pas nécessaire. De plus, l'authentification au niveau du réseau peut être activée, ce qui bloquera les attaquants non authentifiés. Il est également possible de bloquer le port TCP 3389 du système au niveau du pare-feu, qui est utilisé par le protocole RDP (Remote Desktop Protocol).

Cependant, le blocage du port TCP 3389 n'empêche pas les attaques internes, selon la description du bulletin de sécurité de Microsoft:

Le blocage des ports affectés au périmètre de l'entreprise est la meilleure défense pour éviter les attaques Internet. Cependant, les systèmes pourraient toujours être vulnérables aux attaques de leur périmètre d'entreprise.

Vers et ironie

Sans ironie, la NSA a décrit les vulnérabilités des logiciels vermifuges, comme CVE-2019-0708, comme étant particulièrement graves:

Microsoft a averti que cette faille est potentiellement "vermifuge", ce qui signifie qu'elle pourrait se propager sans interaction de l'utilisateur sur Internet. Nous avons vu des vers informatiques dévastateurs infliger des dommages à des systèmes non corrigés avec un impact étendu, et nous cherchons à motiver une protection accrue contre cette faille.

L'avis de la NSA n'a pas été élaboré, mais CVE-2019-0708 a été comparé comme étant potentiellement dommageable sous le nom de "WannaCry", un logiciel malveillant d'essuyage vermifuge, déguisé en ransomware, qui a détruit les données sur les ordinateurs du monde entier. WannaCry a utilisé l'outil d'attaque NSA divulgué appelé «EternalBlue», qui avait exploité une vulnérabilité de Windows Server Message Block 1.

Une récente New York Times L'article a noté que la ville de Baltimore a été confrontée à une attaque de ransomware basée sur EternalBlue au cours des trois dernières semaines, désactivant des milliers d'ordinateurs de la ville. Les attaquants l'ont fait, ironiquement, en utilisant EternalBlue, qui a été "développé aux frais des contribuables à une courte distance en voiture de Baltimore-Washington Parkway à la National Security Agency", selon des experts en sécurité informés sur l'affaire ", Fois histoire notée.

Mise à jour 7/27: Une FAQ non datée publiée par la ville de Baltimore a démystifié le New York Times histoire, déclarant que "les enquêteurs médico-légaux indépendants qui nous aident à enquêter sur cet incident n'ont trouvé aucune preuve qu'EternalBlue était impliqué dans l'attaque du ransomware."

Défaut PC verrouillé RDP

Dans des informations relatives à la sécurité de Windows, la US Computer Emergency Readiness Team (CERT) a publié mardi une note de vulnérabilité concernant un problème de sécurité associé à l'utilisation de RDP. Il existe un possible contournement de sécurité qui peut se produire lorsqu'un utilisateur verrouille l'écran du PC, peut-être parce qu'il a temporairement suspendu une session RDP. Si une "anomalie de réseau" est déclenchée, "lors de la reconnexion automatique, la session RDP sera restaurée déverrouillé ", a expliqué la note de vulnérabilité du CERT américain.

Cette vulnérabilité est associée à Windows 10 version 1803 et aux systèmes d'exploitation clients plus récents, ainsi qu'à Windows Server 2019. Elle affecte même les systèmes dotés de protections d'authentification à deux facteurs, tels que les systèmes utilisant Duo Security.

Il n'y a pas de solution disponible pour cette vulnérabilité, mais le CERT américain conseille aux utilisateurs finaux de "s'assurer de verrouiller local système par opposition au système distant "par mesure de sécurité. Alternativement, les utilisateurs peuvent simplement déconnecter leurs sessions RDP une fois terminé plutôt que de verrouiller le système.

Will Dormann, un analyste des vulnérabilités du CERT / CC qui a rédigé la note de vulnérabilité, a noté dans une publication sur Twitter que Microsoft ne prévoit pas de fournir un correctif logiciel pour ce problème.

"Microsoft ne prévoit pas de modifier ce comportement, donc n'utilisez pas la fonction" Verrouiller "sur RDP", a écrit Dormann. "Déconnectez-vous une fois terminé ou absent!"

A propos de l'auteur

Kurt Mackie est producteur de nouvelles senior pour le groupe Converge360 de 1105 Media.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.