Fin de support de Microsoft Windows Server 2008 / 2008 R2
Contexte
Microsoft a planifié l’arrêt du support de MICROSOFT Windows Server 2008 et MICROSOFT Windows Server 2008 R2 le 14 janvier 2020, conformément à la politique de support en référence (cf. section Documentation). À cette date, l’éditeur cessera d’assurer la publication de correctifs de sécurité pour MICROSOFT Windows Server 2008 et MICROSOFT Windows Server 2008 R2, y compris en cas de découverte d’une vulnérabilité critique.
Il est important de souligner que l’arrêt du support de plusieurs éditions de Windows devrait entraîner une recrudescence des codes d’exploitations de vulnérabilités non publiques, appelées « 0-day ». En effet, un code d’exploitation aura plus de valeur pour les attaquants si les vulnérabilités associées ne sont pas corrigées par l’éditeur. Il est à craindre que les vendeurs de vulnérabilités non publiques profitent de ce phénomène.
De nombreux systèmes utilisant MICROSOFT Windows Server 2008 (R2) sont aujourd’hui encore en service dans les administrations et les entreprises. L’ANSSI attire l’attention sur la nécessité d’anticiper dès à présent une migration vers des systèmes dont la pérennité des mise à jour de sécurité sera assurée après janvier 2020.
Un des scénarios redouté par l’ANSSI est la propagation d’un code malveillant, de type rançongiciel, qui s’appuierait sur une vulnérabilité exploitable à distance, sans authentification, sur ce type de systèmes obsolètes.
Périmètre concerné
L’exploitation d’une vulnérabilité sur un serveur Windows est souvent critique, de par la nature des fonctions généralement supportées (partage de fichiers, serveurs impression, etc.), en particulier, si le serveur Windows endosse le rôle de contrôleur de domaine Active Directory.
Recommandations
Le support et la mise à disposition de mises à jour de sécurité par l’éditeur constituent un point crucial à la sécurisation d’un système. L’arrêt du support d’une version donnée doit être anticipé et constitue une motivation à la migration vers une version toujours supportée, si possible la plus récente.
La durée de vie du système d’exploitation retenu pour la migration doit être prise en compte et adaptée au cycle de vie des projets et à la vitesse de renouvellement du parc informatique. Une période de plusieurs années est recommandée. À ce titre, il est précisé que la fin de support de MICROSOFT Windows Server 2012 R2 est fixée au 10 octobre 2023 et que les éditions MICROSOFT Windows Server 2019 doivent donc être privilégiées. De plus, ces éditions disposent des dernières fonctionnalités de sécurité disponibles dans les environnements Windows et apportent ainsi une sécurité intrinsèque du système.
Dans le cas où la migration du système obsolète vers une version supportée ne serait pas envisageable, des mesures techniques permettant l’isolation de celui-ci devront être mises en oeuvre dans les plus brefs délais.
Dans tous les cas, il est impératif qu’aucun contrôleur de domaine ne s’exécute sous MICROSOFT Windows Server 2008 ou MICROSOFT Windows Server 2008 R2 à compter du 14 janvier 2020.
Documentation
Rappel des avis émis
Dans la période du 09 au 15 décembre 2019, le CERT-FR a émis les publications suivantes :
- CERTFR-2019-AVI-611 : Vulnérabilité dans OpenSSL
- CERTFR-2019-AVI-612 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2019-AVI-613 : Vulnérabilité dans Symantec Industrial Control System Protection
- CERTFR-2019-AVI-614 : Multiples vulnérabilités dans Samba
- CERTFR-2019-AVI-615 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2019-AVI-616 : Vulnérabilité dans Adobe ColdFusion
- CERTFR-2019-AVI-617 : Multiples vulnérabilités dans Adobe Acrobat et Reader
- CERTFR-2019-AVI-618 : Multiples vulnérabilités dans Gitlab
- CERTFR-2019-AVI-619 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2019-AVI-620 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2019-AVI-621 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2019-AVI-622 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2019-AVI-623 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2019-AVI-624 : Vulnérabilité dans Microsoft IE
- CERTFR-2019-AVI-625 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2019-AVI-626 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2019-AVI-627 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2019-AVI-628 : Multiples vulnérabilités dans Xen
- CERTFR-2019-AVI-629 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2019-AVI-630 : Multiples vulnérabilités dans Citrix Hypervisor
- CERTFR-2019-AVI-631 : Multiples vulnérabilités dans WordPress
- CERTFR-2019-AVI-632 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2019-AVI-633 : Multiples vulnérabilités dans le noyau Linux de Red Hat