Microsoft a corrigé une vulnérabilité critique dans certaines versions de Windows qui peut être exploitée pour créer un puissant ver. La vulnérabilité, connue sous le nom de CVE-2019-0708est situé à Services à distance Desktop. Parce que le risque et la vulnérabilité sont "aussi" élevés, Microsoft a même publié des correctifs pour Windows XP et Windows Server 2003, même si ces plateformes ne sont plus prises en charge depuis un an (même si elles sont encore utilisées).
Ce billet comprend des extraits d'un article de CSO Online intitulé "Microsoft exhorte les clients Windows à corriger la faille vermifuge RDP". Lire l'article complet ici)..
Ce qui rend cette vulnérabilité si dangereuse, c'est qu'elle peut être exploitée à distance sans authentification ni interaction avec l'utilisateur, simplement en envoyant une requête RDP mal conçue à un système vulnérable. Une attaque réussie peut entraîner l'exécution d'un code malveillant sur le système avec tous les droits d'utilisateur, ce qui donne aux attaquants la possibilité d'installer des programmes, de modifier ou de supprimer des données utilisateur et même de créer de nouveaux comptes.
"En d'autres termes, la vulnérabilité est "vermifiable", ce qui signifie que tout futur logiciel malveillant qui exploite cette vulnérabilité pourrait se propager d'un ordinateur vulnérable à un autre de la même manière que la WannaCry Les logiciels malveillants se sont répandus dans le monde entier en 2017", a déclaré Simon Pope, directeur de la réponse aux incidents au centre de réponse de sécurité de Microsoft, dans un communiqué de presse. article de blog.
"Bien que nous n'ayons observé aucune exploitation de cette vulnérabilité, il est très probable que des acteurs malveillants écrivent un exploit pour cette vulnérabilité et l'intègrent dans leurs logiciels malveillants."
Par le passé, RDP a été un vecteur d'infection populaire pour les menaces de logiciels malveillants, notamment pour les ransomwares, les mineurs de crypto-monnaies et les racleurs de mémoire de points de vente. Les attaquants volent ou forcent brutalement les informations d'identification RDP afin d'accéder aux systèmes. Malheureusement, trop d'environnements RDP sont laissés sans le périmètre de sécurité approprié, comme l'ont montré les recherches d'Awingu en 2018 (ex. Belgique, Italie, Suède).
Impact sur les plateformes legacy
La vulnérabilité affecte les services distants Desktop dans Windows 7, Windows Server 2008 R2 et Windows Server 2008, ainsi que dans les versions legacy de Windows qui ont atteint leur fin de vie. En plus des versions de Windows supportées, Microsoft a décidé de publier mises à jour de sécurité pour Windows XP, Windows XP Embedded et Windows Server 2003, probablement parce que ces versions de Windows sont encore largement utilisées dans des environnements legacy et sur des équipements spécialisés tels que les DAB, les appareils médicaux, les kiosques en libre-service, les terminaux de point de vente et autres.
Résoudre la vulnérabilité avec Awingu et les meilleures pratiques
Avec Awingu, les utilisateurs n'ont pas d'accès direct à l'infrastructure RDP. Tout passe par une connexion sécurisée dans le navigateur. En tant que telles, la plupart des vulnérabilités RDP ne représentent pas un risque très important. Cependant, il est préférable de mettre à jour vos systèmes avec le correctif approprié dès que possible. Microsoft donne en outre les conseils suivants :
- Désactivez les services Remote Desktop s'ils ne sont pas nécessaires. Si vous n'avez plus besoin de ces services sur votre système, pensez à les désactiver en tant que meilleure pratique de sécurité. La désactivation des services inutilisés et superflus permet de réduire votre exposition aux failles de sécurité.
- Activez l'authentification au niveau du réseau (NLA) sur les systèmes exécutant les éditions prises en charge de Windows 7, Windows Server 2008 et Windows Server 2008 R2.
- Bloquez le port TCP 3389 au niveau du pare-feu périmétrique de l'entreprise pour empêcher les attaques provenant d'Internet. (dans le cas d'Awingu, 3389 n'est pas nécessaire. L'accès à Internet se fait via le port 443 (https))
Vous voulez en savoir plus et voir Awingu en action ? Contactez nous !