La vulnérabilité BlueKeep (CVE-2019-0708) pour les anciennes versions de Windows, visant à implémenter le protocole RDP, n'a pas encore eu le temps de faire du
bruit , car il est temps de remettre les correctifs. Maintenant, toutes les nouvelles versions de Windows se trouvent dans la zone affectée. Si nous évaluons la menace potentielle de l'exploitation des vulnérabilités au moyen d'une attaque directe à partir d'Internet en utilisant la méthode WannaCry, alors elle est pertinente pour plusieurs centaines de milliers d'hôtes dans le monde et plusieurs dizaines de milliers d'hôtes en Russie.
Détails et recommandations de protection sous la coupe.
Les vulnérabilités RCE publiées dans RDS Remote Desktop Services sous Windows (CVE-2019-1181 / 1182), si elles sont exploitées avec succès, permettent à un attaquant non authentifié d'exécuter à distance du code sur le système attaqué.
Pour exploiter les vulnérabilités, un attaquant n'a qu'à envoyer une demande spécialement conçue au service de bureau à distance des systèmes cibles à l'aide de RDP (le protocole RDP lui-même n'est pas vulnérable).
Il est important de noter que tout malware qui exploite cette vulnérabilité pourrait potentiellement se propager d'un ordinateur vulnérable à un autre, comme la propagation du malware WannaCry dans le monde en 2017. Pour une opération réussie, vous devez uniquement disposer d'un accès réseau approprié à un hôte ou un serveur avec une version vulnérable du système d'exploitation Windows, y compris si le service système est publié sur le périmètre.
Versions du système d'exploitation Windows concernées:
- Windows 10 pour 32 bits / x64
- Windows 10 version 1607 pour systèmes 32 bits / x64
- Windows 10 version 1703 pour systèmes 32 bits / x64
- Windows 10 version 1709 pour systèmes 32 bits / x64
- Windows 10 version 1709 pour les systèmes ARM64
- Windows 10 version 1803 pour systèmes 32 bits / x64
- Windows 10 version 1803 pour les systèmes ARM64
- Windows 10 version 1809 pour systèmes 32 bits / x64
- Windows 10 version 1809 pour les systèmes ARM64
- Windows 10 version 1903 pour systèmes 32 bits / x64
- Windows 10 version 1903 pour les systèmes ARM64
- Windows 7 pour systèmes 32 bits / x64 Service Pack 1
- Windows 8.1 pour systèmes 32 bits / x64
- Windows RT 8.1
- Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Recommandé:
- Installez les mises à jour nécessaires pour le système d'exploitation Windows vulnérable, à partir des nœuds sur le périmètre et plus loin pour l'ensemble de l'infrastructure, conformément aux procédures de gestion des vulnérabilités de l'entreprise:
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182 - S'il existe un service RDP publié sur le périmètre externe pour un système d'exploitation vulnérable, envisagez de restreindre (fermer) l'accès pour éliminer les vulnérabilités.
Pour le moment, il n'y a aucune information sur la présence de PoC / exploit / exploitation de ces vulnérabilités, mais nous ne recommandons pas de retarder les correctifs, souvent leur apparition est une question de plusieurs jours.
Mesures compensatoires supplémentaires éventuelles:
- Activez l'authentification au niveau du réseau (NLA). Cependant, les systèmes vulnérables resteront vulnérables à l'exécution de code à distance (RCE) si l'attaquant possède des informations d'identification valides qui peuvent être utilisées pour une authentification réussie.
- Arrêt temporaire du protocole RDP pour les versions vulnérables du système d'exploitation jusqu'à l'installation des mises à jour; utilisation de méthodes alternatives d'accès à distance aux ressources.