S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 avril 2022
N° CERTFR-2022-ALE-003
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: [MàJ] Vulnérabilité dans l'implémentation du protocole RPC par Microsoft

Gestion du document

Référence CERTFR-2022-ALE-003
Titre [MàJ] Vulnérabilité dans l'implémentation du protocole RPC par Microsoft
Date de la première version13 avril 2022
Date de la dernière version04 mai 2022
Source(s) Bulletin de sécurité Microsoft du 12 avril 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 11 for ARM64-based Systems
  • Windows 11 for x64-based Systems
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server, version 20H2 (Server Core Installation)

Résumé

[mise à jour du 15 avril 2022]

Une vulnérabilité a été découverte dans l'implémentation Microsoft du protocole RPC - Remote Procedure Call -  protocole permettant d'effectuer des appels de procédures sur des machines distantes. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. En particulier, cette vulnérabilité affecte le protocole SMB - Server Message Block - qui permet notamment le partage de ressources comme les fichiers ou les imprimantes.

Le CERT-FR recommande d'appliquer la mise à jour dans les plus brefs délais, en priorité sur les systèmes les plus critiques (notamment les contrôleurs de domaine Active Directory). Au vu de la criticité de cette vulnérabilité, l'éditeur a publié des correctifs de sécurité pour des systèmes qui ne sont plus supportés (en particulier, Windows 7 et Windows Server 2008 R2).

Il est également requis de procéder à une revue des règles de filtrage afin de s'assurer du respect des bonnes pratiques de sécurisation des environnements Microsoft (notamment [1], [2], [3]).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

[mise à jour du 15 avril 2022]

Lorsque les correctifs ne peuvent pas être appliqués, il est préférable de procéder, par ordre de préférence :

  • à la déconnexion des systèmes affectés du réseau ;
  • au filtrage, sur les systèmes affectés, des ports réseaux suivants en entrée :
    • les ports TCP/139 et TCP/445 dans la mesure où SMB est un vecteur de transport de nombreuses interfaces RPC ;
    • les ports UDP/135, TCP/135 ainsi que la plage de ports dynamique utilisés par l'écosystème RPC.

Documentation

Gestion détaillée du document

    le 13 avril 2022
    Version initiale
    le 15 avril 2022
    mise à jour des recommandations
    le 04 mai 2022
    Clôture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.