Multiples vulnérabilités affectant le protocole RDP de Microsoft Windows

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Gestion du document

Origine: bjCSIRT

Numéro: 2020/ALERTE/002

Date de l’alerte: 15/01/2019

TLP: White

 

Aperçu de la menace

Remote Desktop Protocol (RDP)est un protocole qui permet à un utilisateur de se connecter à distance sur une machine exécutant Microsoft Windows.

Plusieurs vulnérabilités le concernant ont été découvertes et signalées par Microsoft :

  • Deux vulnérabilités concernant les serveurs RDP référencées : CVE-2020-0609 et CVE-2020-0610.
  • Une vulnérabilité client RDP référencée CVE-2020-0611 qui découle de l’exploitation du serveur RDP.

 

Description

CVE-2020-0609 et CVE-2020-0610 : (serveur RDP) 

Les vulnérabilités d’exécution de code à distance existent dans Windows Remote Desktop Gateway (RD Gateway) lorsqu’un attaquant non authentifié se connecte au système cible à l’aide de RDP et envoie des requêtes spécialement conçues. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du code arbitraire sur le système cible. Aussi il pourrait alors installer des programmes; afficher, modifier, supprimer des données,  ou créer de nouveaux comptes avec des droits d’utilisateur complets. L’exploitation de ces vulnérabilités nécessite, l’envoi d’une requête spécialement conçue à la passerelle RD du système cible via RDP.

CVE-2020-0611 (Client RDP)

La vulnérabilité d’exécution de code à distance coté client se manifeste lorsqu’un utilisateur se connecte au serveur  RDP malveillant. L’attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur l’ordinateur du client qui s’y connecte. Pour l’exploitation l’attaquant devrait avoir le contrôle d’un serveur RDP (en référence à aux CVE-2020-0609 et CVE-2020-0610) puis convaincre un utilisateur de s’y connecter. Un attaquant pourrait inciter un utilisateur à se connecter au serveur malveillant via l’ingénierie sociale, DNS poisoning ou l’utilisation du Man in the Middle (attaque homme du milieu). Un attaquant pourrait également compromettre un serveur légitime, y héberger du code malveillant et attendre que l’utilisateur se connecte.

 

Impact

Avec CVE-2020-0609 et CVE-2020-0610, les attaquants peuvent exécuter du code arbitraire sur les services RDP ouverts, permettant un accès complet au serveur RDP.

Avec CVE-2020-0611, les attaquants peuvent exécuter du code arbitraire sur le client RDP lorsqu’il se connecte à au serveur RDP malveillant.

 

Mesures à prendre

Appliquer la mise à jour Windows de Janvier 2020.

 

Versions affectées

  • Serveurs RDP : Windows Server 2012, 2016 et 2019
  • Clients RDP :  Windows Server 2008, 2012, 2016, 2019 , Windows 7, 8.1, 10

 

Lien Utiles

https://www.cert.govt.nz/it-specialists/advisories/critical-vulnerabilities-in-microsoft-windows/

Partagez sur vos réseaux.