Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 11 for ARM64-based Systems
  • Windows 11 for x64-based Systems
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server, version 20H2 (Server Core Installation)

Résumé

[mise à jour du 15 avril 2022]

Une vulnérabilité a été découverte dans l'implémentation Microsoft du protocole RPC - Remote Procedure Call -  protocole permettant d'effectuer des appels de procédures sur des machines distantes. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. En particulier, cette vulnérabilité affecte le protocole SMB - Server Message Block - qui permet notamment le partage de ressources comme les fichiers ou les imprimantes.

Le CERT-FR recommande d'appliquer la mise à jour dans les plus brefs délais, en priorité sur les systèmes les plus critiques (notamment les contrôleurs de domaine Active Directory). Au vu de la criticité de cette vulnérabilité, l'éditeur a publié des correctifs de sécurité pour des systèmes qui ne sont plus supportés (en particulier, Windows 7 et Windows Server 2008 R2).

Il est également requis de procéder à une revue des règles de filtrage afin de s'assurer du respect des bonnes pratiques de sécurisation des environnements Microsoft (notamment [1], [2], [3]).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

[mise à jour du 15 avril 2022]

Lorsque les correctifs ne peuvent pas être appliqués, il est préférable de procéder, par ordre de préférence :

  • à la déconnexion des systèmes affectés du réseau ;
  • au filtrage, sur les systèmes affectés, des ports réseaux suivants en entrée :
    • les ports TCP/139 et TCP/445 dans la mesure où SMB est un vecteur de transport de nombreuses interfaces RPC ;
    • les ports UDP/135, TCP/135 ainsi que la plage de ports dynamique utilisés par l'écosystème RPC.

Documentation