Il a été fait état d'une vulnérabilité dangereuse dans le protocole RDP: Microsoft a préparé
un correctif d'urgence pour la vulnérabilité avec l'identifiant CVE-2019-0708, qui permet l'exécution de code arbitraire sur le système cible.
Une vulnérabilité d'exécution de code à distance existe dans les services Bureau à distance (anciennement appelés services Terminal Server) lorsqu'un attaquant non authentifié se connecte au système cible à l'aide de RDP et envoie des demandes spécialement conçues. Cette vulnérabilité utilise la pré-authentification et ne nécessite pas d'interaction avec l'utilisateur. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur le système cible.
La vulnérabilité (CVE-2019-0708) réside dans le composant «services de bureau à distance» intégré aux versions prises en charge de Windows, y compris Windows 7, Windows Server 2008 R2 et Windows Server 2008. Elle est également présente dans les ordinateurs fonctionnant sous Windows XP et Windows 2003, systèmes d'exploitation pour lesquels Microsoft a depuis longtemps cessé de fournir des mises à jour de sécurité.
Pour exploiter cette vulnérabilité, un attaquant doit envoyer une demande spécialement conçue au service de bureau à distance des systèmes cibles via RDP.
Un fait intéressant est que cette vulnérabilité ou une vulnérabilité similaire est vendue sur le darknet depuis au moins septembre de l'année dernière:
VENDEUR, [30.09.18 12:54]
RDP RCE Exploit
description:
Il s'agit d'un bogue dans le protocole RDP.
Cela signifie que vous pouvez exploiter à distance tout Windows qui active RDP.
type de vulnérabilité:
Débordement de tas
versions affectées:
Windows 2000 / XP / 2003 / Vista / 7/2008 (R2)
niveau de privilège obtenu:
Privilège SYSTEM
fiabilité:
90% pour un cœur / 30% pour plusieurs cœurs
durée d'exploitation:
environ 10 secondes
Acheteur possible, [30.09.18 12:58]
versions affectées:
Windows 2000 / XP / 2003 / Vista / 7/2008 (R2)
Lol
Acheteur possible, [30.09.18 12:58]
est-ce une vuln pré-authentification ou post-authentification?
VENDEUR, [30.09.18 12:59]
Pré
Acheteur possible, [30.09.18 12:59]
pour combien ils le vendent?
VENDEUR, [30.09.18 12:59]
500
VENDEUR, [30.09.18 12:59]
Partagé
Acheteur possible, [30.09.18 12:59]
500k USD?
VENDEUR, [30.09.18 13:00]
Donc tu peux deviner qu'il a été vendu
VENDEUR, [30.09.18 13:00]
Oui
L'exploitation de cette vulnérabilité permet d'écrire des malwares similaires à WannaCry, découverts il y a
exactement 2 ans .
Cette vulnérabilité est une pré-authentification et ne nécessite aucune interaction de l'utilisateur. En d'autres termes, la vulnérabilité est `` wormable '', ce qui signifie que tout futur malware qui exploite cette vulnérabilité pourrait se propager d'un ordinateur vulnérable à un ordinateur vulnérable de la même manière que le malware WannaCry répandu à travers le monde en 2017.
La vulnérabilité est si grave que Microsoft a publié des correctifs, même pour les versions non prises en charge du système d'exploitation - Windows XP et Windows 2003.