{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Microsoft Windows XP et Windows Server 2003, tous services  packs confondus</P>","closed_at":"2017-09-06","content":"## Description\n\nLe 14 avril 2017, le groupe d'attaquants Shadowbrokers a publi\u00e9 une\nnouvelle archive contenant des outils offensifs.  \nParmi ceux-ci se trouvent des codes permettant d'exploiter :\n\n## Remote Desktop Protocol (RDP)\n\nUn code permet l'exploitation d'une vuln\u00e9rabilit\u00e9 accessible par le\nservice Remote Desktop Protocol.  \n\nLe composant affect\u00e9 correspond au service d'authentification par carte\n\u00e0 puce, expos\u00e9 via l'extension RDP Smart Card Virtual Channel. Quand les\nmachines sont membres d'un domaine Active Directory, ce composant est\nactiv\u00e9 par d\u00e9faut et accessible via le protocole RDP (port TCP 3389).\n\nLa vuln\u00e9rabilit\u00e9 est pr\u00e9sente m\u00eame si l'authentification par carte \u00e0\npuce n'est pas utilis\u00e9e. Le code d'attaque disponible publiquement\npermet d'obtenir une ex\u00e9cution de code arbitraire \u00e0 distance avec les\nprivil\u00e8ges SYSTEM.  \n\nLe CERT-FR recommande de filtrer l'acc\u00e8s au service RDP (port TCP 3389),\nque les machines soient accessibles ou non sur internet, afin que seules\ndes machines de confiance puissent s'y connecter. De mani\u00e8re plus\ng\u00e9n\u00e9rale, le CERT-FR d\u00e9conseille l'utilisation de syst\u00e8mes en fin de vie\n(cf. section Documentation).\n\nIl existe toutefois une mesure de contournement efficace et simple \u00e0\nimpl\u00e9menter. La cl\u00e9 de registre suivante est pr\u00e9sente par d\u00e9faut dans\ntoutes les versions de Windows XP et Windows Server 2003 :\n\n-   \\\\HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Cryptography\\\\Defaults\\\\Provider\\\\Gemplus\n    GemSAFE Card CSP v1.0.\n\nSupprimer celle-ci rend l'exploitation de cette vuln\u00e9rabilit\u00e9\nimpossible. Elle implique cependant un effet de bord car la suppression\nde cette cl\u00e9 de registre emp\u00eache l'utilisation de lecteurs de cartes\nutilisant les pilotes Gemalto.\n\nLe 13 juin 2017, Microsoft a publi\u00e9 un correctif pour cette\nvuln\u00e9rabilit\u00e9 exploit\u00e9e par le code d'attaque ESTEEMAUDIT (cf. section\nDocumentation).\n\n## Microsoft Server Message Block (SMB)\n\nPlusieurs codes d'exploitation ciblent le serveur SMB de Windows et\npermettent une ex\u00e9cution de code arbitraire \u00e0 distance avec des\nprivil\u00e8ges \u00e9lev\u00e9s (noyau).\n\nLe 12 mai 2017, l'une des vuln\u00e9rabilit\u00e9s SMB a \u00e9t\u00e9 exploit\u00e9e dans le\ncadre d'une campagne de propagation de ran\u00e7ongiciels (cf. section\nDocumentation). Au vu de l'ampleur de la menace et \u00e0 titre exceptionnel,\nMicrosoft a publi\u00e9 un correctif de s\u00e9curit\u00e9 (cf. section Documentation)\npour des syst\u00e8mes qui ne sont plus maintenus depuis de nombreux mois,\nvoire plusieurs ann\u00e9es.\n\nL'exploitation av\u00e9r\u00e9e \u00e0 grande \u00e9chelle de cette vuln\u00e9rabilit\u00e9 rend\nd'autant plus critique l'installation des correctifs dans les plus brefs\nd\u00e9lais et la migration des syst\u00e8mes obsol\u00e8tes.\n\n## Microsoft Exchange\n\nL'un des codes permet d'obtenir une ex\u00e9cution de code \u00e0 distance sur les\nversions de Microsoft Exchange 2007 et ant\u00e9rieures.\n\nLe 13 juin 2017, Microsoft a publi\u00e9 un correctif pour cette\nvuln\u00e9rabilit\u00e9 exploit\u00e9e par le code d'attaque ENGLISHMANDENTIST (cf.\nsection Documentation).\n\n## Internet Information Services (IIS)\n\nLe module WebDAV du serveur IIS est cibl\u00e9 par l'un des codes\nd'exploitation qui permet d'obtenir une ex\u00e9cution de code arbitraire \u00e0\ndistance avec les privil\u00e8ges SYSTEM.\n\nLe 13 juin 2017, Microsoft a publi\u00e9 un correctif pour cette\nvuln\u00e9rabilit\u00e9 exploit\u00e9e par le code d'attaque EXPLODINGCAN (cf. section\nDocumentation).\n\n## Recommandations\n\nBien que des syst\u00e8mes comme Microsoft Windows XP et Windows Server 2003\nne sont plus maintenus depuis plusieurs ann\u00e9es, force est de constater\nque leur pr\u00e9sence dans les parcs informatiques est toujours non\nn\u00e9gligeable. Avec la mise \u00e0 disposition publique de plus en plus de\ncodes d'exploitation ciblant ces syst\u00e8mes obsol\u00e8tes, les risques\naugmentent en cons\u00e9quence, en particulier pour les syst\u00e8mes accessibles\nsur internet.\n\nM\u00eame s'il est possible de tenter de r\u00e9duire la surface d'attaque en\nfiltrant les communications vers les services vuln\u00e9rables ou en les\nd\u00e9sactivant, il faut consid\u00e9rer que, d'une mani\u00e8re g\u00e9n\u00e9rale, les\nsyst\u00e8mes en fin de vie donnent aux attaquants un moyen d'acc\u00e8s ou de\nd\u00e9placement lat\u00e9ral \u00e0 moindre co\u00fbt.  \n\nLes mesures de s\u00e9curit\u00e9 compensatoires devront donc \u00eatre \u00e9valu\u00e9es et les\nrisques r\u00e9siduels formellement accept\u00e9s.\n\nLe CERT-FR insiste sur l'importance de migrer vers des versions\nmaintenues et \u00e0 jour par les \u00e9diteurs (cf. section Documentation).  \n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Avis CERT-FR CERTFR-2017-AVI-181","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-181/index.html"},{"title":"Les syst\u00e8mes et logiciels obsol\u00e8tes","url":"http://www.cert.ssi.gouv.fr/site/CERTA-2005-INF-003/index.html"},{"title":"Avis CERT-FR CERTFR-2017-AVI-154","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-154/index.html"},{"title":"Alerte CERT-FR CERTFR-2017-ALE-010","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html"}],"reference":"CERTFR-2017-ALE-008","revisions":[{"description":"version initiale.","revision_date":"2017-04-14T00:00:00.000000"},{"description":"extension de l'alerte \u00e0 d'autres composants vuln\u00e9rables.","revision_date":"2017-04-19T00:00:00.000000"},{"description":"mise \u00e0 jour de l'alerte pour tenir compte de la campagne de propagation de ran\u00e7ongiciels via une vuln\u00e9rabilit\u00e9 SMB.","revision_date":"2017-05-15T00:00:00.000000"},{"description":"ajout d'une mesure de contournement pour le code d'attaque <SPAN class=\"textit\">ESTEEMAUDIT</SPAN> affectant le protocole RDP.","revision_date":"2017-05-31T00:00:00.000000"},{"description":"mise \u00e0 jour de l'alerte pour tenir compte des correctifs publi\u00e9s par Microsoft concernant les codes d'attaque <SPAN class=\"textit\">ESTEEMAUDIT</SPAN>, <SPAN class= \"textit\">EXPLODINGCAN</SPAN> et <SPAN class= \"textit\">ENGLISHMANDENTIST</SPAN>.","revision_date":"2017-06-14T00:00:00.000000"},{"description":"cl\u00f4ture de l'alerte.","revision_date":"2017-09-06T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans <span\nclass=\"textit\">Windows XP et Windows Server 2003</span>. Elles\npermettent \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire\n\u00e0 distance et une \u00e9l\u00e9vation de privil\u00e8ges.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Windows XP et Windows Server 2003","vendor_advisories":[]}