icetray - Fotolia
Rustines critiques : Microsoft fait une entorse à sa règle pour aider à éviter le pire
L’éditeur propose des mises à jour pour Windows XP et Windows Server 2003 afin de limiter le risque d’exploitation d’une vulnérabilité au potentiel dévastateur. Elle affecte les services de déport d’affichage.
WannaCry. Pour son second anniversaire, il revient dans tous les esprits : une nouvelle vulnérabilité permettant le développement de vers redoutables vient d’être dévoilée, affectant de nombreuses versions anciennes de Windows, de XP à 7 SP1 côté postes de travail, et de 2003 à 2008 R2 SP1 côtés serveurs.
Référencée CVE-2019-0708, cette vulnérabilité affecte les services de déport d’affichage : elle permet à un attaquant de forcer l’exécution de code à distance en envoyant à sa cible des requêtes RDP spécifiques ; son exploitation se passe d’authentification et d’interaction manuelle de la part d’un utilisateur local. Comme l’explique Microsoft, un assaillant pourraient alors « installer des programmes ; consulter, modifier ou effacer des données ; ou créer de nouveaux comptes avec des droits utilisateur complets ».
Face à la criticité de la vulnérabilité, Microsoft a publié plusieurs correctifs, dont cinq pour Windows XP SP2/SP3 et Windows Server 2003 SP2. De son côté, le centre de réponse aux urgences de sécurité informatique du secteur privé au Luxembourg, le Circl, a pris les devants, identifiant 515 adresses IP dans le pays, exposant publiquement des services RDP et prévenant leurs utilisateurs.
Et il y a de quoi être prudent. Dale Peterson, fondateur des célèbres conférences S4, dédiées à la sécurité des environnements informatiques industriels, souligne que ce monde utilise encore « une quantité significative » de systèmes sous Windows XP et Server 2003, avec RDP « pour accéder aux ordinateurs autour des usines, des pipelines, etc ».
#CVE-2019-0708 likely scenario:
— V (@mynameisv__) May 15, 2019
1. Mass-phishing based on Collection#1-#5
2. Infection of 1 whatever windows
3. Try to elevate: uac, unfixed priv-esc from project-0, privileged file op abuse...
4. If elevated, grab pass/hash
5. Spread with CVE or pass/hash
6. Destroy infected
En France, à ce jour, Shodan et Onyphe recensent plus de 50 000 services RDP exposés. La bonne nouvelle, c’est que le premier ne semble pas avoir connaissance d’adresse IP française exposant à la fois des services d’ICS et de RDP sur Internet. Surtout, à l’automne 2017, il fallait compter avec plus de 77 000 services RDP exposés dans l’Hexagone. Mais l’exposition en ligne n’est pas forcément le seul scénario d’attaque autour d’une vulnérabilité telle que CVE-2019-0708, comme certains l’imaginent déjà.