Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Windows 10
  • Windows 7 SP1
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2008 R2
  • Windows Server 2008 R2 SP1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Résumé

Le 13 août 2019, lors de la publication mensuelle de ses correctifs, Microsoft a corrigé plusieurs vulnérabilités affectant les services de bureau à distance (Remote Desktop Services, RDS). Parmi les failles corrigées, quatre d'entre elles, critiques, permettent une exécution de code arbitraire à distance. Selon l'éditeur, elles touchent les systèmes Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 ainsi que toutes les versions supportées de Windows 10, cela incluant les versions serveur.

Ces vulnérabilités identifiées comme CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 et CVE-2019-1226 peuvent être exploitées sans authentification et sont considérées comme étant d'une criticité similaire à la faille CVE-2019-0708 [1] corrigée au mois de mai par l'éditeur.

En accompagnement du bulletin mensuel sur les correctifs de sécurité, Microsoft a également publié un article de blogue [2] revenant sur deux de ces failles, les CVE-2019-1181 et CVE-2019-1182. Celui-ci incite les utilisateurs à mettre à jour leurs systèmes dans les plus brefs délais et met en garde contre le risque d'utilisation de ce type de vulnérabilité dans des attaques à propagation de type "ver informatique".

[Mise à jour 14 août 2019]

Microsoft a bloqué la mise à jour d'août 2019 pour les utilisateurs de produits Symantec et Norton [3][4]. En effet, l'algorithme SHA-2 pour la signature du certificat n'est pas supporté par ces produits, ceux-ci ne peuvent donc pas vérifier la mise à jour.

Microsoft déconseille de forcer l'installation. Aucune solution n'est disponible pour l'instant.

Solution

Le CERT-FR recommande l'application des correctifs disponibles dans les plus brefs délais. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Contournement provisoire

Un contournement partiel existe lorsque le protocole Network Level Authentication (NLA) est activé. Cette fonctionnalité de sécurité force l'authentification du client lors de l’initialisation d'une connexion avec le service RDS. Cela a pour conséquence d'empêcher l'exploitation de ces failles en pré-authentification. Malgré son utilisation, les machines demeurent vulnérables à une exécution de code arbitraire à distance.

Documentation