Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Windows 2003
- Windows 7
- Windows Server 2008
- Windows Server 2008 R2
- Windows Vista
- Windows XP
Résumé
[Mise à jour du 22 mai 2019 : Informations complémentaires et situation]
[Mise à jour du 23 mai 2019 : Informations sur la publication d'un correctif pour Windows Vista]
Le 14 mai 2019, lors de sa mise à jour mensuelle, Microsoft a publié un
correctif pour une vulnérabilité identifiée comme CVE-2019-0708 [1].
Cette vulnérabilité impacte les services de bureau à distance (Remote
Desktop Services, RDS), basé sur le protocole de bureau à distance
(Remote Desktop Protocol, RDP) et régulièrement utilisé dans le cadre
de l'administration à distance. Cette vulnérabilité permet l'exécution
de code arbitraire sur un système vulnérable, et ce sans
authentification ni interaction d'un utilisateur.
De par le risque particulièrement important qui découlerait d'une exploitation de cette faille, elle a fait l'objet d'un traitement spécifique de la part de l'éditeur. En effet, en plus des correctifs pour les systèmes actuellement maintenus par Microsoft, des mises à jours exceptionnelles ont également été rendues disponibles pour certains des anciens systèmes n'étant plus pris en charge. Cela comprend les systèmes Windows 2003 ainsi que Windows XP.
Le 23 mai 2019, Microsoft a rendu disponible un correctif pour le système Windows Vista [4].
De plus, une publication de l'éditeur alertant sur le caractère singulier de cette faille et mettant en garde contre un risque d'attaque par un ver informatique exploitant la CVE-2019-0708 a été mise en ligne sur le blog de Microsoft [2].
À la date du 22 mai 2019, aucun code d’exploitation public n’est disponible. Cependant, plusieurs sources fiables sur Internet se font l'écho de l’existence de tels codes, rendant alors crédible le risque de divulgation des détails techniques et l’exploitation automatisée qui pourrait suivre.
Une proposition de règle de détection s'appuyant sur certaines caractéristiques de la vulnérabilité a été rendue publique par NCC Group [3]. Il est ainsi possible dans certains cas de détecter une tentative d'exploitation. Cependant, dans le cas général les communications passent par un canal chiffré ce qui empêche les détections au niveau du réseau.
NLA (Network Level Authentication)
Pour éviter l’exploitation en pré-authentification, il est possible
d'utiliser la fonctionnalité NLA qui force une authentification du
client lors de l’initialisation de la connexion RDP.
La fonctionnalité NLA est implémentée depuis Windows Vista et Windows
Server 2008 mais n’est pas forcément imposée par la configuration du
service RDS. Il n’existe pas de configuration par défaut relative à
l’activation de cette fonctionnalité et l’administrateur définit ces
paramètres lors de l’installation.
Recommandations
Le CERT-FR recommande en premier lieu l'application des correctifs disponibles dans les plus brefs délais.
Les systèmes vulnérables doivent être identifiés et les mesures suivantes doivent être appliquées au plus vite :
Systèmes d'exploitation | Mesures |
---|---|
Windows 7 Windows Server 2008 |
En fonction de la configuration de NLA,
les machines sont vulnérables en pré-authentification ou en post
authentification. Pour que la vulnérabilité ne soit pas exploitable en
pré-authentification, NLA doit être activé (cf. section
Contournement provisoire) Le CERT-FR recommande donc de déployer, par GPO si applicable, l’activation de NLA pour le service RDS. Quelle que soit la configuration, les correctifs doivent être appliqués sur ces systèmes. Il est rappelé que la fin du support de ces systèmes d’exploitation étant proche (14 janvier 2020), il est nécessaire de migrer vers des versions supportées. |
Windows Vista | Ce système n'est plus supporté par
l’éditeur. L'utilisation de la fonctionnalité NLA permet d'éviter
l'exploitation de la vulnérabilité en pré-authentification et peut être
utilisé comme solution de contournement provisoire. Bien qu'un correctif soit disponible pour cette version de Windows, la mise à niveau vers des systèmes soutenus par l’éditeur doit être réalisée en urgence. |
Windows XP Windows Server 2003 |
Ces systèmes ne sont plus supportés par
l’éditeur et aucun mécanisme de défense en profondeur n’est disponible
pour réduire la gravité de cette vulnérabilité. Aucune machine avec ces versions de Windows ne doit être connectée à Internet ou à un réseau local ni administrée par ce vecteur. Bien que des correctifs soient disponibles pour ces versions de Windows, le remplacement vers des systèmes soutenus par l’éditeur doit être réalisé en urgence. |
Solution
Le CERT-FR recommande l'application des correctifs disponibles dans les plus brefs délais. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Contournement provisoire
L'activation de NLA ne permet pas de corriger la vulnérabilité mais impose une authentification avant l'exécution de la section vulnérable du code. Elle pourra se faire à l'aide de la GPO suivante (version française puis version anglaise):
[pastacode lang="bash" manual="GPO%20%3E%20Configuration%20ordinateur%20%3E%20Mod%C3%A8les%20d%E2%80%99administration%20%3E%20Composants%20Windows%20%3E%20%0AService%20Bureau%20%C3%A0%20distance%20%3E%20H%C3%B4te%20de%20la%20session%20Bureau%20%C3%A0%20distance%20%3E%20S%C3%A9curit%C3%A9" message="" highlight="" provider="manual"/]
[pastacode lang="bash" manual="GPO%20%3E%20Computer%20Configuration%20%3E%20Administrative%20Templates%20%3E%20Windows%20Components%20%3E%20%0ARemote%20Desktop%20Services%20%3E%20Remote%20Desktop%20Session%20Host%20%3E%20Security" message="" highlight="" provider="manual"/]
Documentation
- [1] Bulletin de sécurité Microsoft CVE-2019-0708 du 14 mai 2019 https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2019-0708
- [2] Publication de blogue de Microsoft sur la vulnérabilité CVE-2019-0708 https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
- [3] Règle de détection réseau Suricata de NCC Group pour la CVE-2019-0708 https://github.com/nccgroup/Cyber-Defence/blob/master/Signatures/suricata/2019_05_rdp_cve_2019_0708.txt
- [4] Instructions pour les clients concernant la CVE-2019-0708 de Microsoft https://support.microsoft.com/fr-fr/help/4500705/customer-guidance-for-cve-2019-0708
- Avis CERT-FR CERTFR-2019-AVI-223 https://cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-223/
- Référence CVE CVE-2019-0708 https://www.cve.org/CVERecord?id=CVE-2019-0708