Des failles de bureau à distance plus critiques exposent les systèmes Windows au piratage – Bien choisir son serveur d impression
Plusieurs vulnérabilités RDS et RDP trouvées et corrigées, mais de nouvelles recherches sur les correctifs BlueKeep suggèrent que de nombreuses machines pourraient rester exposées
Impression
Impression
Pro
Microsoft a identifié et corrigé plusieurs vulnérabilités dans le composant Windows Remote Desktop Services (RDS) – anciennement connu sous le nom de Terminal Services – qui est largement utilisé dans les environnements d'entreprise pour gérer à distance les machines Windows. Certaines vulnérabilités peuvent être exploitées sans authentification pour obtenir l'exécution de code à distance et une compromission complète du système, ce qui les rend très dangereuses pour les réseaux d'entreprise si elles ne sont pas corrigées.
Toutes les failles ont été découvertes en interne par Microsoft lors du durcissement du composant RDS, donc aucun exploit public n'est disponible pour le moment. Cependant, le chercheur Microsoft Justin Campbell dit sur Twitter que son équipe "a réussi à construire une chaîne d'exploits complète en utilisant certains d'entre eux, il est donc probable que quelqu'un d'autre le fera aussi."
Exploit de propagation
Dans un article de blog, Simon Pope, directeur de la réponse aux incidents chez Microsoft, a averti que deux des failles, identifiées comme CVE-2019-1181 et CVE-2019-1182, sont vermifuges. Si un logiciel malveillant fait son chemin à l'intérieur d'un réseau d'entreprise, il pourrait exploiter ces failles pour se propager d'un ordinateur à l'autre.
Les deux vulnérabilités affectent Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 et toutes les versions prises en charge de Windows 10. Étant donné que RDS est un service système, une exploitation réussie fournirait aux attaquants les privilèges nécessaires pour installer des programmes; lire et supprimer des données et créer de nouveaux comptes.
Mardi, Microsoft a également corrigé deux autres vulnérabilités d'exécution de code à distance dans RDS qui sont suivies comme CVE-2019-1222 et CVE-2019-1226. Ces failles n'affectent que les versions prises en charge de Windows 10, Windows Server 2019 et Windows Server version 1803 et ne nécessitent pas d'authentification pour être exploitées.
La société a également corrigé une faille de déni de service non authentifiée (CVE-2019-1223) et deux problèmes de divulgation de mémoire (CVE-2019-1224 et CVE-2019-1225), ce qui porte le nombre total de failles RDS corrigées ce correctif mardi à Sept.
Tout a commencé avec BlueKeep
L'enquête approfondie de Microsoft sur RDS et les nouveaux problèmes identifiés survient après la découverte et la correction d'un défaut RDS vermifuge en mai. Suivi comme CVE-2019-0708, cette vulnérabilité est connue dans la communauté de la sécurité sous le nom de BlueKeep et des exploits publics sont disponibles pour elle.
La semaine dernière, l'équipe de détection et de réponse de Microsoft (DART) a émis un avertissement selon lequel l'exploitation de BlueKeep est très probable. L'équipe a déclaré à l'époque, sur la base de sa télémétrie, que plus de 400 000 points de terminaison manquaient d'authentification au niveau du réseau, ce qui aggrave le problème et pourrait permettre la propagation facile des vers RDP (Remote Desktop Protocol).
L'authentification au niveau du réseau (NLA) est suggérée par Microsoft comme une atténuation possible pour BlueKeep et les failles RDS nouvellement corrigées car elle oblige les attaquants à s'authentifier avant de tenter un exploit. Cependant, dans la pratique, il existe de nombreux scénarios dans lesquels les attaquants peuvent obtenir des informations d'identification légitimes et contourner cette protection. Le déploiement de correctifs pour ces vulnérabilités dès que possible est donc la meilleure solution.
Selon un nouveau rapport de SecurityScorecard, environ 800 000 machines dotées d'un service RDS vulnérable ont été exposées directement à Internet lorsque BlueKeep est sorti en mai. La société a analysé ces machines quotidiennement et a constaté que la réponse de correction était lente, environ 1% étant corrigé chaque jour.
Pour les machines qui ont obtenu les correctifs BlueKeep, la majorité a été mise à jour au cours des 13 premiers jours après l'annonce. Cela signifie que dans la plupart des cas, les propriétaires de machines vulnérables ont corrigé leurs systèmes dans les 13 jours ou pas du tout.
Variations sectorielles
Certains secteurs ont mieux performé que d'autres, selon les données de SecurityScorecard. L'industrie des services financiers a enregistré le plus grand nombre de machines corrigées dans la journée suivant la publication des correctifs. De nombreuses autres organisations financières les ont corrigées au jour 11. Dans l'ensemble, l'industrie des services financiers a corrigé environ 713 machines vulnérables par jour.
Les organisations des secteurs de la fabrication et de l'hôtellerie ont rapiécé environ 3% de leurs machines par jour, un taux nettement supérieur à la moyenne. Cependant, ces industries avaient également un nombre beaucoup plus faible de machines vulnérables exposées à Internet pour commencer, ce qui indique de bonnes pratiques de sécurité et une architecture de réseau.
«Un délai de réponse de cinq à 13 jours est plutôt respectable. Cependant, SecurityScorecard conseille de ne pas exposer Remote Desktop (RDP) sur Internet », écrit la société dans son rapport. «Il devrait plutôt se trouver derrière un pare-feu et / ou un VPN. Ainsi, le vrai correctif pour ces machines est une combinaison de correctifs: effectuez une mise à niveau vers une version plus récente de Windows, corrigez la vulnérabilité et empêchez l'accès Internet à ces machines. »
IDG News Service
Commentaires
Laisser un commentaire