Le 13 aoûtthBlueKeep (CVE-2019-0708) - la vulnérabilité RDP dont nous avons parlé dans le bulletin d'information de la Commission européenne notre précédent billet de bloga encore frappé. Les deux nouvelles failles vermoulues sont appelées BlueKeep II et III (ou, comme certains l'appellent de manière moqueuse, " BlueKeep II ").DejaBlue'). Contrairement à leur prédécesseur, ils affectent toutes les versions de Windows (y compris le serveur) à partir de Windows 7 et plus. Microsoft et les experts en sécurité recommandent vivement aux administrateurs système d'inscrire les correctifs en priorité sur leur liste de tâches.
Qu'est-ce que DejaBlue ?
Contrairement à la découverte de BlueKeep I par le GCHQ, ces vulnérabilités ont été découvertes par les propres équipes de sécurité de Microsoft et sont répertoriées sur le site Web de l'entreprise. Centre de réponse de sécurité de Microsoft:
Chacune de ces failles peut être exploitée par des entités malveillantes pour détourner des systèmes vulnérables sans aucune forme d'authentification. En bref, un paquet de code est envoyé sur le réseau et donne un accès immédiat au système sans qu'il soit nécessaire de se connecter. En outre, la vulnérabilité permet de se propager à plusieurs autres systèmes ou ordinateurs connectés sans aucune forme d'interaction avec l'utilisateur, ce qui en fait une attaque vermifuge.
Comme il s'agit de bogues d'exécution de code à distance dans RDS, il suffit de se trouver sur le même réseau qu'une machine non corrigée pour la saisir. Pire encore, si le point d'accès RDP est public (ce que nous ne pouvons pas faire), il est possible de s'en emparer. très fortement déconseillé), il suffit qu'il soit accessible à distance pour faire des ravages. Un système touché peut donner aux pirates la possibilité de voler, de supprimer ou de modifier des données, ainsi que d'installer des logiciels (hostiles) ou d'exécuter des codes nuisibles.
Corrigez-la avant de l'attraper !
Le BlueKeep "original" concernait les anciennes versions des services Remote Desktop, y compris les systèmes legacy qui sont arrivés en fin de vie. BlueKeep II et III, cependant, signifie des problèmes pour les systèmes plus récents : "Les versions de Windows affectées sont Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2," dit Simon Pope (Directeur de la réponse aux incidents, MSRC), "et toutes les versions prises en charge de Windows 10, y compris les versions serveur."
Les experts en sécurité recommandent deux choses :
-
-
- Appliquez un correctif à vos systèmes dès que possible, car le dernier correctif de Windows empêche cette exploitation d'être possible. Windows propose des mises à jour automatiques par défaut, mais ceux qui l'ont désactivé doivent appliquer les correctifs suivants ce patch
- Activez l'authentification au niveau du réseau (NLA). "Les systèmes affectés sont atténués contre les logiciels malveillants "versables" ou les menaces de logiciels malveillants avancés qui pourraient exploiter la vulnérabilité", explique Pope, "car NLA exige une authentification avant que la vulnérabilité puisse être déclenchée."
-
Éviter les vulnérabilités du RDP avec Awingu
Comme avec BlueKeep I, Awingu peut vous aider à vous protéger contre ce type de vulnérabilités vermoulues. L'accès RDP, en supposant qu'il ne s'agit pas d'un accès public, n'est pas établi à partir de la machine mais par HTTP via un navigateur. En d'autres termes, la machine affectée n'accède pas directement à l'infrastructure RDP - l'appliance Awingu le fait à sa place. Cela implique que votre RDP n'a pas besoin d'être exposé publiquement pour établir une connexion à votre Windows App Server de n'importe où et via n'importe quel appareil.
Dans ce cas, Awingu agit de la même manière qu'un pare-feu : il atténue le risque que des attaquants accèdent à votre point d'extrémité RDP et lancent l'attaque. Avec les bonnes mesures en place, Awingu devient le point d'entrée unique de votre infrastructure et ses mesures de sécurité étendues (y compris le MFA intégré) empêcheront toute entité malveillante extérieure. Cela étant dit, la meilleure pratique consiste toujours à mettre à jour votre système avec les correctifs les plus récents afin de rester sur ses gardes contre les exploits les plus courants.
English 
Italian 
German 
Spanish 
French