Posted on

Exécution de code arbitraire sur le service RDP

BY: 0 COMMENTS CATEGORY: Alertes et Avis

Gestion du document

Origine: bjCSIRT

Numéro: 2019/ALERTE/004

Date de l’alerte: 17/05/2019

TLP: White

Aperçu de la menace

Une vulnérabilité d’exécution de code à distance a été découverte sur le service RDP (Remote Desktop Protocol) des certains systèmes d’exploitation Windows. Cette faille (CVE-2019-0708) est particulièrement critique car exploitable sans aucune interaction humaine. D’après Microsoft, cette faille peut être exploitée par l’utilisation de vers informatiques qui peuvent se propager automatiquement sur les serveurs vulnérables connectés.

Description

La vulnérabilité provient d’un manque de vérification sur les requêtes de connexion envoyées au service RDP. Un attaquant distant et non authentifié a la possibilité d’envoyer une requête spécifiquement forgée au service afin d’exécuter du code arbitraire sur le système. Il aensuite la possibilité de modifier le système (installation ou suppression de programmes, création de comptes privilégiés).

Versions affectées :

  • Windows XP (SP3 32 bits, SP2 Professional 64 bits, Embedded SP3 32 bits)
  • Windows 7 (32 et 64 bits)
  • Windows Server 2003 (32 et 64 bits)
  • Windows Server 2008 (32 et 64 bits)
  • Windows Server 2008 R2 64 bits, Itanium-based)

Versions non affectées :

  • Windows 8
  • Windows 10
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Mesures à prendre

Il est recommandé :

  1. De mettre à jour les systèmes concernés.
  2. Dans le cas échéant, filtrer le trafic entrant sur le port TCP/3389.
  3. Activer le mécanisme NLA (Network Level Authentication) sur les postes / serveurs vulnérables.

Lien Utiles

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Partagez sur vos réseaux.
Posted in Alertes et AvisTagged ,