{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Windows XP","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 R2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 7","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 2003","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Vista","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2019-10-25","content":"## Solution\n\nLe CERT-FR recommande l'application des correctifs disponibles dans les\nplus brefs d\u00e9lais. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour\nl'obtention des correctifs (cf. section Documentation).\n\n## Contournement provisoire\n\n\u00a0\n\nL'activation de NLA ne permet pas de corriger la vuln\u00e9rabilit\u00e9 mais\nimpose une authentification avant l'ex\u00e9cution de la section vuln\u00e9rable\ndu code. Elle pourra se faire \u00e0 l'aide de la GPO suivante (version\nfran\u00e7aise puis version anglaise):\n\n\\[pastacode lang=\"bash\"\nmanual=\"GPO%20%3E%20Configuration%20ordinateur%20%3E%20Mod%C3%A8les%20d%E2%80%99administration%20%3E%20Composants%20Windows%20%3E%20%0AService%20Bureau%20%C3%A0%20distance%20%3E%20H%C3%B4te%20de%20la%20session%20Bureau%20%C3%A0%20distance%20%3E%20S%C3%A9curit%C3%A9\"\nmessage=\"\" highlight=\"\" provider=\"manual\"/\\]\n\n\\[pastacode lang=\"bash\"\nmanual=\"GPO%20%3E%20Computer%20Configuration%20%3E%20Administrative%20Templates%20%3E%20Windows%20Components%20%3E%20%0ARemote%20Desktop%20Services%20%3E%20Remote%20Desktop%20Session%20Host%20%3E%20Security\"\nmessage=\"\" highlight=\"\" provider=\"manual\"/\\]\n","cves":[{"name":"CVE-2019-0708","url":"https://www.cve.org/CVERecord?id=CVE-2019-0708"}],"links":[{"title":"[3] R\u00e8gle de d\u00e9tection r\u00e9seau Suricata de NCC Group pour la CVE-2019-0708","url":"https://github.com/nccgroup/Cyber-Defence/blob/master/Signatures/suricata/2019_05_rdp_cve_2019_0708.txt"},{"title":"[4] Instructions pour les clients concernant la CVE-2019-0708 de Microsoft","url":"https://support.microsoft.com/fr-fr/help/4500705/customer-guidance-for-cve-2019-0708"},{"title":"Avis CERT-FR CERTFR-2019-AVI-223","url":"https://cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-223/"},{"title":"[2] Publication de blogue de Microsoft sur la vuln\u00e9rabilit\u00e9 CVE-2019-0708","url":"https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/"}],"reference":"CERTFR-2019-ALE-006","revisions":[{"description":"Version initiale","revision_date":"2019-05-22T00:00:00.000000"},{"description":"Informations compl\u00e9mentaires sur les syst\u00e8mes impact\u00e9s, les recommandations et les contournements provisoires","revision_date":"2019-05-22T00:00:00.000000"},{"description":"Mise en forme","revision_date":"2019-05-23T00:00:00.000000"},{"description":"Ajout des informations sur le correctif pour Windows Vista","revision_date":"2019-05-23T00:00:00.000000"},{"description":"Correction syntaxique","revision_date":"2019-05-24T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte","revision_date":"2019-10-25T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[Mise \u00e0 jour du 22 mai 2019 : Informations compl\u00e9mentaires et\nsituation\\]</strong>\n\n<strong>\\[Mise \u00e0 jour du 23 mai 2019 : Informations sur la publication d'un\ncorrectif pour Windows Vista\\]</strong>\n\nLe 14 mai 2019, lors de sa mise \u00e0 jour mensuelle, Microsoft a publi\u00e9 un\ncorrectif pour une vuln\u00e9rabilit\u00e9 identifi\u00e9e comme CVE-2019-0708 \\[1\\].  \nCette vuln\u00e9rabilit\u00e9 impacte les services de bureau \u00e0 distance (*Remote\nDesktop Services*, RDS), bas\u00e9 sur le protocole de bureau \u00e0 distance\n(*Remote Desktop Protocol*, RDP) et r\u00e9guli\u00e8rement utilis\u00e9 dans le cadre\nde l'administration \u00e0 distance. Cette vuln\u00e9rabilit\u00e9 permet l'ex\u00e9cution\nde code arbitraire sur un syst\u00e8me vuln\u00e9rable, et ce sans\nauthentification ni interaction d'un utilisateur.\n\nDe par le risque particuli\u00e8rement important qui d\u00e9coulerait d'une\nexploitation de cette faille, elle a fait l'objet d'un traitement\nsp\u00e9cifique de la part de l'\u00e9diteur. En effet, en plus des correctifs\npour les syst\u00e8mes actuellement maintenus par Microsoft, des mises \u00e0\njours exceptionnelles ont \u00e9galement \u00e9t\u00e9 rendues disponibles pour\ncertains des anciens syst\u00e8mes n'\u00e9tant plus pris en charge. Cela comprend\nles syst\u00e8mes Windows 2003 ainsi que Windows XP.\n\nLe 23 mai 2019, Microsoft a rendu disponible un correctif pour le\nsyst\u00e8me Windows Vista \\[4\\].\n\nDe plus, une publication de l'\u00e9diteur alertant sur le caract\u00e8re\nsingulier de cette faille et mettant en garde contre un risque d'attaque\npar un ver informatique exploitant la CVE-2019-0708 a \u00e9t\u00e9 mise en ligne\nsur le blog de Microsoft \\[2\\].\n\n\u00c0 la date du 22 mai 2019, aucun code d\u2019exploitation public n\u2019est\ndisponible. Cependant, plusieurs sources fiables sur Internet se font\nl'\u00e9cho de l\u2019existence de tels codes, rendant alors cr\u00e9dible le risque de\ndivulgation des d\u00e9tails techniques et l\u2019exploitation automatis\u00e9e qui\npourrait suivre.\n\nUne proposition de r\u00e8gle de d\u00e9tection s'appuyant sur certaines\ncaract\u00e9ristiques de la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 rendue publique par NCC Group\n\\[3\\]. Il est ainsi possible dans certains cas de d\u00e9tecter une tentative\nd'exploitation. Cependant, dans le cas g\u00e9n\u00e9ral les communications\npassent par un canal chiffr\u00e9 ce qui emp\u00eache les d\u00e9tections au niveau du\nr\u00e9seau.\n\n### NLA (*Network Level Authentication*)\n\nPour \u00e9viter l\u2019exploitation en pr\u00e9-authentification, il est possible\nd'utiliser la fonctionnalit\u00e9 NLA qui force une authentification du\nclient lors de l\u2019initialisation de la connexion RDP.  \nLa fonctionnalit\u00e9 NLA est impl\u00e9ment\u00e9e depuis Windows Vista et Windows\nServer 2008 mais n\u2019est pas forc\u00e9ment impos\u00e9e par la configuration du\nservice RDS. Il n\u2019existe pas de configuration par d\u00e9faut relative \u00e0\nl\u2019activation de cette fonctionnalit\u00e9 et l\u2019administrateur d\u00e9finit ces\nparam\u00e8tres lors de l\u2019installation.\n\n### Recommandations\n\nLe CERT-FR recommande en premier lieu l'application des correctifs\ndisponibles dans les plus brefs d\u00e9lais.\n\nLes syst\u00e8mes vuln\u00e9rables doivent \u00eatre identifi\u00e9s et les mesures\nsuivantes doivent \u00eatre appliqu\u00e9es au plus vite :\n\n<table>\n<colgroup>\n<col style=\"width: 50%\" />\n<col style=\"width: 50%\" />\n</colgroup>\n<tbody>\n<tr class=\"header\">\n<th>Syst\u00e8mes d'exploitation</th>\n<th style=\"text-align: center;\">Mesures</th>\n</tr>\n\n<tr class=\"odd\">\n<td>Windows 7<br />\nWindows Server 2008</td>\n<td style=\"text-align: center;\">En fonction de la configuration de NLA,\nles machines sont vuln\u00e9rables en pr\u00e9-authentification ou en post\nauthentification. Pour que la vuln\u00e9rabilit\u00e9 ne soit pas exploitable en\npr\u00e9-authentification, NLA doit \u00eatre activ\u00e9 (cf. section\n<strong>Contournement provisoire</strong>)<br />\nLe CERT-FR recommande donc de d\u00e9ployer, par GPO si applicable,\nl\u2019activation de NLA pour le service RDS.<br />\nQuelle que soit la configuration, les correctifs doivent \u00eatre appliqu\u00e9s\nsur ces syst\u00e8mes.<br />\nIl est rappel\u00e9 que la fin du support de ces syst\u00e8mes d\u2019exploitation\n\u00e9tant proche (14 janvier 2020), il est n\u00e9cessaire de migrer vers des\nversions support\u00e9es.</td>\n</tr>\n<tr class=\"even\">\n<td>Windows Vista</td>\n<td style=\"text-align: center;\">Ce syst\u00e8me n'est plus support\u00e9 par\nl\u2019\u00e9diteur. L'utilisation de la fonctionnalit\u00e9 NLA permet d'\u00e9viter\nl'exploitation de la vuln\u00e9rabilit\u00e9 en pr\u00e9-authentification et peut \u00eatre\nutilis\u00e9 comme solution de contournement provisoire.<br />\nBien qu'un correctif soit disponible pour cette version de Windows, la\nmise \u00e0 niveau vers des syst\u00e8mes soutenus par l\u2019\u00e9diteur doit \u00eatre\nr\u00e9alis\u00e9e en urgence.</td>\n</tr>\n<tr class=\"odd\">\n<td>Windows XP<br />\nWindows Server<br />\n2003</td>\n<td style=\"text-align: center;\">Ces syst\u00e8mes ne sont plus support\u00e9s par\nl\u2019\u00e9diteur et aucun m\u00e9canisme de d\u00e9fense en profondeur n\u2019est disponible\npour r\u00e9duire la gravit\u00e9 de cette vuln\u00e9rabilit\u00e9.<br />\nAucune machine avec ces versions de Windows ne doit \u00eatre connect\u00e9e \u00e0\nInternet ou \u00e0 un r\u00e9seau local ni administr\u00e9e par ce vecteur.<br />\nBien que des correctifs soient disponibles pour ces versions de Windows,\nle remplacement vers des syst\u00e8mes soutenus par l\u2019\u00e9diteur doit \u00eatre\nr\u00e9alis\u00e9 en urgence.</td>\n</tr>\n</tbody>\n</table>\n","title":"Vuln\u00e9rabilit\u00e9 dans Microsoft Remote Desktop Services","vendor_advisories":[{"published_at":null,"title":"[1] Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2019-0708 du 14 mai 2019","url":"https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2019-0708"}]}