Microsoft met en garde contre deux nouvelles failles « wormables » dans Windows RDP

Microsoft a annoncé aujourd’hui avoir corrigé deux nouvelles failles majeures de sécurité dans le package Windows Desktop Services.

Ces deux vulnérabilités sont similaires à la vulnérabilité connue sous le nom de BlueKeep (CVE-2019-0708). Microsoft a corrigé BlueKeep en mai et averti que des attaquants pourraient en abuser pour créer des attaques « wormable », c’est à dire capable de se propager d’un ordinateur à un autre sans interaction de l’utilisateur.

Microsoft a annoncé aujourd’hui avoir corrigé deux autres failles de sécurité similaires à BlueKeep, à savoir CVE-2019-1181 et CVE-2019-1182.

Tout comme BlueKeep, ces deux nouveaux bugs sont « wormable » et résident également dans le package RDS (Windows Remote Desktop Services).

Contrairement à BlueKeep, ces deux failles ne peuvent pas être exploitées via le protocole RDP (Remote Desktop Protocol), qui fait normalement partie du package RDS

Versions concernées

« Les versions concernées de Windows sont Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 et toutes les versions de Windows 10 actuellement maintenues, y compris les versions serveur », a déclaré Simon Pope, directeur de la réponse aux incidents chez Microsoft Security Response Center (MSRC).

« Windows XP, Windows Server 2003 et Windows Server 2008 ne sont pas concernés », a-t-il déclaré.

Pope a déclaré que Microsoft avait découvert ces vulnérabilités en interne, tout en essayant de renforcer et d’améliorer la sécurité du package RDS.

Les services de bureau à distance (RDS) sont le composant Windows qui permet à un utilisateur de prendre le contrôle d’un ordinateur distant ou d’une machine virtuelle via une connexion réseau. Dans certaines versions antérieures de Windows, RDS s’appelait Terminal Services.

Une course au patch

Comme avec la faille BlueKeep, Pope conseille aux utilisateurs et aux entreprises d’appliquer les correctifs sur leurs systèmes le plus rapidement possible afin d’empêcher toute exploitation.

Bien que BlueKeep ait été révélé il y a trois mois, aucune attaque n’a été détectée au moment de la rédaction de cet article, bien que des exploits de BlueKeep aient déjà été créés et partagés.

Néanmoins, mieux vaut prévenir que guérir : les correctifs CVE-2019-1181 et CVE-2019-1182 devraient figurer en haut de la liste de tous les administrateurs système cette semaine et dans ce Patch Tuesday.

« Il existe des mesures d’atténuation partielles sur les systèmes affectés pour lesquels l’authentification au niveau du réseau (NLA) est activée », a déclaré Pope. « Les systèmes affectés sont protégés contre les programmes malveillants « wormables » ou les logiciels malveillants avancés qui pourraient exploiter cette vulnérabilité, car la NLA requiert une authentification avant que la vulnérabilité ne puisse être déclenchée. »

« Cependant, les systèmes affectés restent vulnérables à l’exploitation RCE (Remote Code Execution) si l’attaquant dispose d’identifiants valides qui peuvent être utilisés pour authentifier avec succès », a déclaré Pope.

Source : Microsoft warns of two new ‘wormable’ flaws in Windows Remote Desktop Services