Nouvelle vulnérabilité Windows RDP

pansemant, patch, sécurité

Nouvelle vulnérabilité Windows RDP

Patch de sécurité à déployer sur vos Windows 7 et Server 2008 / 2008R2.
Les versions antérieurs n’ont pas de solution et les versions postérieurs ne sont pas impactées.

 

 

Vulnérabilité d’exécution de Code à distance des Services RDP (bureau à distance) du: 14 mai 2019

 

Aujourd’hui, Microsoft a publié des correctifs pour une vulnérabilité critique d’exécution de code à distance, CVE-2019-0708, dans les services de bureau à distance (anciennement connus sous le nom de services de terminal) affectant certaines versions plus anciennes de Windows. Le protocole de bureau à distance, appellé RDP (Remote Desktop Protocol) n’est pas vulnérable. Cette vulnérabilité est une pré-authentification et ne nécessite aucune interaction de l’utilisateur. En d’autres termes, la vulnérabilité est ‘wormable’, ce qui signifie que tout futur logiciel malveillant exploitant cette vulnérabilité pourrait se propager d’un ordinateur vulnérable à un ordinateur vulnérable de la même manière que le programme malveillant WannaCry très répandu dans le monde en 2017.

Il n’a été observé aucune exploitation de cette vulnérabilité, il est fort probable que des acteurs malveillants écrivent un exploit pour cette vulnérabilité et l’intègrent dans leur logiciel malveillant.

Il est important que les systèmes affectés soient corrigés le plus rapidement possible afin d’éviter qu’un tel scénario ne se produise. En réponse, nous prenons la mesure inhabituelle consistant à fournir une mise à jour de sécurité à tous les clients pour protéger les plates-formes Windows, y compris certaines versions de Windows non prises en charge.

Les systèmes de prise en charge vulnérables incluent Windows 7, Windows Server 2008 R2 et Windows Server 2008. Vous trouverez des téléchargements pour les versions de prise en charge de Windows dans le Guide de mise à jour de sécurité Microsoft. Les clients qui utilisent une version de Windows prise en charge et dont les mises à jour automatiques sont activées sont automatiquement protégés.

Solution

Installer le patch ou bien désactiver le RDP!

Pour les Windows Server 2008r2 et windows 7 voici le numéro de KB : 4499175.

 

workaround : NLA

Des mesures d’atténuation partielles sont prises sur les systèmes affectés sur lesquels l’authentification au niveau du réseau (NLA) est activée. Les systèmes affectés sont protégés contre les programmes malveillants «non modifiables» ou les logiciels malveillants avancés pouvant exploiter cette vulnérabilité, car la NLA requiert une authentification avant que la vulnérabilité ne puisse être déclenchée. Toutefois, les systèmes affectés restent vulnérables à l’exploitation RCE (Remote Code Execution) si l’attaquant dispose d’informations d’identité valides pouvant être utilisées pour s’authentifier avec succès.
C’est pour ces raisons que nous recommandons vivement à tous les systèmes concernés, que la NLA soit activée ou non, d’être mis à jour dès que possible.

 

Configuration "Require user authentication for remote connections by using Network Level Authentication"

Emplacement dans les GPO :

"Computer\Policies\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security"

 

Autre Workaround

Et ajouter une règle firewall pour bloquer le port RDP 3389 en dehors du périmètre de votre entreprise.

Laisser un commentaire

%d blogueurs aiment cette page :