Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Vista
  • Windows 2003
  • Windows XP

Résumé

[Mise à jour du 22 mai 2019 : Informations complémentaires et situation]

[Mise à jour du 23 mai 2019 : Informations sur la publication d'un correctif pour Windows Vista]

Le 14 mai 2019, lors de sa mise à jour mensuelle, Microsoft a publié un correctif pour une vulnérabilité identifiée comme CVE-2019-0708 [1].
Cette vulnérabilité impacte les services de bureau à distance (Remote Desktop Services, RDS), basé sur le protocole de bureau à distance (Remote Desktop Protocol, RDP) et régulièrement utilisé dans le cadre de l'administration à distance. Cette vulnérabilité permet l'exécution de code arbitraire sur un système vulnérable, et ce sans authentification ni interaction d'un utilisateur.

De par le risque particulièrement important qui découlerait d'une exploitation de cette faille, elle a fait l'objet d'un traitement spécifique de la part de l'éditeur. En effet, en plus des correctifs pour les systèmes actuellement maintenus par Microsoft, des mises à jours exceptionnelles ont également été rendues disponibles pour certains des anciens systèmes n'étant plus pris en charge. Cela comprend les systèmes Windows 2003 ainsi que Windows XP.

Le 23 mai 2019, Microsoft a rendu disponible un correctif pour le système Windows Vista [4].

De plus, une publication de l'éditeur alertant sur le caractère singulier de cette faille et mettant en garde contre un risque d'attaque par un ver informatique exploitant la CVE-2019-0708 a été mise en ligne sur le blog de Microsoft [2].

À la date du 22 mai 2019, aucun code d’exploitation public n’est disponible. Cependant, plusieurs sources fiables sur Internet se font l'écho de l’existence de tels codes, rendant alors crédible le risque de divulgation des détails techniques et l’exploitation automatisée qui pourrait suivre.

Une proposition de règle de détection s'appuyant sur certaines caractéristiques de la vulnérabilité a été rendue publique par NCC Group [3]. Il est ainsi possible dans certains cas de détecter une tentative d'exploitation. Cependant, dans le cas général les communications passent par un canal chiffré ce qui empêche les détections au niveau du réseau.

NLA (Network Level Authentication)

Pour éviter l’exploitation en pré-authentification, il est possible d'utiliser la fonctionnalité NLA qui force une authentification du client lors de l’initialisation de la connexion RDP.
La fonctionnalité NLA est implémentée depuis Windows Vista et Windows Server 2008 mais n’est pas forcément imposée par la configuration du service RDS. Il n’existe pas de configuration par défaut relative à l’activation de cette fonctionnalité et l’administrateur définit ces paramètres lors de l’installation.

Recommandations

Le CERT-FR recommande en premier lieu l'application des correctifs disponibles dans les plus brefs délais.

Les systèmes vulnérables doivent être identifiés et les mesures suivantes doivent être appliquées au plus vite :

Systèmes d'exploitation Mesures
Windows 7
Windows Server 2008
En fonction de la configuration de NLA, les machines sont vulnérables en pré-authentification ou en post authentification. Pour que la vulnérabilité ne soit pas exploitable en pré-authentification, NLA doit être activé (cf. section Contournement provisoire)
Le CERT-FR recommande donc de déployer, par GPO si applicable, l’activation de NLA pour le service RDS.
Quelle que soit la configuration, les correctifs doivent être appliqués sur ces systèmes.
Il est rappelé que la fin du support de ces systèmes d’exploitation étant proche (14 janvier 2020), il est nécessaire de migrer vers des versions supportées.
Windows Vista Ce système n'est plus supporté par l’éditeur. L'utilisation de la fonctionnalité NLA permet d'éviter l'exploitation de la vulnérabilité en pré-authentification et peut être utilisé comme solution de contournement provisoire.
Bien qu'un correctif soit disponible pour cette version de Windows, la mise à niveau vers des systèmes soutenus par l’éditeur doit être réalisée en urgence.
Windows XP
Windows Server
2003
Ces systèmes ne sont plus supportés par l’éditeur et aucun mécanisme de défense en profondeur n’est disponible pour réduire la gravité de cette vulnérabilité.
Aucune machine avec ces versions de Windows ne doit être connectée à Internet ou à un réseau local ni administrée par ce vecteur.
Bien que des correctifs soient disponibles pour ces versions de Windows, le remplacement vers des systèmes soutenus par l’éditeur doit être réalisé en urgence.

Contournement provisoire

 

L'activation de NLA ne permet pas de corriger la vulnérabilité mais impose une authentification avant l'exécution de la section vulnérable du code. Elle pourra se faire à l'aide de la GPO suivante (version française puis version anglaise):

GPO > Configuration ordinateur > Modèles d’administration > Composants Windows > 
Service Bureau à distance > Hôte de la session Bureau à distance > Sécurité

GPO > Computer Configuration > Administrative Templates > Windows Components > 
Remote Desktop Services > Remote Desktop Session Host > Security

Solution

Le CERT-FR recommande l'application des correctifs disponibles dans les plus brefs délais. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation