{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Windows Server 2012","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2019","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012 R2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2016","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2020-02-19","content":"## Solution\n\nL'ANSSI recommande d'appliquer les correctifs mis \u00e0 disposition par\nMicrosoft dans le cadre de son programme *Patch Tuesday* (en date du 14\njanvier) sans d\u00e9lai.\n\nDans l'\u00e9ventualit\u00e9 o\u00f9 ces correctifs ne sont pas applicables rapidement,\nl'ANSSI sugg\u00e8re de d\u00e9sactiver le transport UDP pour le service *Remote\nDesktop Gateway.* Par ailleurs, ce mode de transport est vou\u00e9 \u00e0\nam\u00e9liorer l'exp\u00e9rience utilisateur en cas d'utilisation d'un r\u00e9seau de\nfaible capacit\u00e9, par cons\u00e9quent, si le besoin n'est pas av\u00e9r\u00e9, il est\nfortement recommand\u00e9 de d\u00e9sactiver d\u00e9finitivement ce mode de transport.\n\nLa d\u00e9sactivation du transport UDP s'applique en passant par les\npropri\u00e9t\u00e9s du serveur *RD Gateway* :\n\n-   Dans l'onglet \u00ab *Transport Parameters* \u00bb, \u00ab *UDP transport\n    parameters* \u00bb, d\u00e9cocher la case \u00ab *enable UDP transport* \u00bb\n-   Dans l'onglet \u00ab *SSL bridging* \u00bb, d\u00e9cocher \u00ab *utiliser le SSL\n    bridging* \u00bb, d\u00e9cocher la case \u00ab *HTTPS-HTTP bridging* \u00bb\n","cves":[{"name":"CVE-2020-0609","url":"https://www.cve.org/CVERecord?id=CVE-2020-0609"},{"name":"CVE-2020-0610","url":"https://www.cve.org/CVERecord?id=CVE-2020-0610"}],"links":[{"title":"Avis CERT-FR CERTFR-2020-AVI-026 du 14 janvier 2020","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-026/"}],"reference":"CERTFR-2020-ALE-005","revisions":[{"description":"Version initiale","revision_date":"2020-01-14T00:00:00.000000"},{"description":"Correction lien CVE-2020-0609","revision_date":"2020-01-15T00:00:00.000000"},{"description":"Annonce de la publication du code d'attaque.","revision_date":"2020-01-29T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. La cl\u00f4ture d'une alerte ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2020-02-19T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[Mise \u00e0 jour du 29 janvier 2020\\]</strong>\n\nDu code d'attaque est d\u00e9sormais disponible publiquement concernant\nl'exploitation des vuln\u00e9rabilit\u00e9s CVE-2020-0609 et\u00a0CVE-2020-0610.\n\nPour l'instant, le code publique ne permet en l'\u00e9tat qu'un d\u00e9ni de\nservice. Toutefois, il a \u00e9t\u00e9 annonc\u00e9 que du code d'attaque permettant\nune ex\u00e9cution de code arbitraire \u00e0 distance sera bient\u00f4t publi\u00e9. Cela\nrendra possible l'exploitation de ces vuln\u00e9rabilit\u00e9s m\u00eame \u00e0 des\nattaquants d'un faible niveau technique.\n\nLe CERT-FR insiste sur l'importance d'appliquer les correctifs dans les\nplus brefs d\u00e9lais.\n\n<strong>\\[Version Initiale\\]</strong>\n\nDepuis Microsoft Windows Server 2012, la passerelle d'acc\u00e8s distant\n*Microsoft Remote Desktop Gateway* (*RD Gateway*) int\u00e8gre par d\u00e9faut de\nnouvelles fonctionnalit\u00e9s d\u00e9nomm\u00e9es *RemoteFX* am\u00e9liorant la prise en\ncharge de certains contenus multim\u00e9dias et \u00e9galement l'optimisation du\ntrafic r\u00e9seau sur des liaisons de faible capacit\u00e9. D\u00e9nomm\u00e9e *RemoteFX\nfor WAN*, cette optimisation r\u00e9seau permet de mettre en oeuvre le\nprotocole RDP sur UDP avec chiffrement DTLS.\n\nLa fonction principale de la solution *RD Gateway* est de cloisonner les\nflux internes n\u00e9cessaires au fonctionnement des *Remote Desktop\nServices* et de ne pr\u00e9senter que des interfaces *HTTPS* et *DTLS* sur\nInternet.\n\nLe 14 janvier, Microsoft a \u00e9mis deux avis de s\u00e9curit\u00e9 concernant deux\nvuln\u00e9rabilit\u00e9s qui permettent une ex\u00e9cution de code \u00e0 distance sans\nauthentification pr\u00e9alable.\n\nQu'elle soit expos\u00e9e sur Internet ou bien situ\u00e9e sur une interconnexion\ndu syst\u00e8me d'information, une telle passerelle est de par sa fonction\nexpos\u00e9e. Elle constitue un \u00e9l\u00e9ment critique de l'architecture d'un\nr\u00e9seau et toute vuln\u00e9rabilit\u00e9 doit donc \u00eatre corrig\u00e9e dans les plus\nbrefs d\u00e9lais.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans le serveur de passerelle RDP de Windows","vendor_advisories":[{"published_at":null,"title":"Note de publication Microsoft du 14 janvier 2020","url":"https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/2020-Jan"},{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Microsoft du 14 janvier 2020","url":"https://portal.msrc.microsoft.com/fr-FR/security-guidance"}]}