Gestion du document
Origine: bjCSIRT
Numéro: 2019/ALERTE/004
Date de l’alerte: 17/05/2019
TLP: White
Aperçu de la menace
Une vulnérabilité d’exécution de code à distance a été découverte sur le service RDP (Remote Desktop Protocol) des certains systèmes d’exploitation Windows. Cette faille (CVE-2019-0708) est particulièrement critique car exploitable sans aucune interaction humaine. D’après Microsoft, cette faille peut être exploitée par l’utilisation de vers informatiques qui peuvent se propager automatiquement sur les serveurs vulnérables connectés.
Description
La vulnérabilité provient d’un manque de vérification sur les requêtes de connexion envoyées au service RDP. Un attaquant distant et non authentifié a la possibilité d’envoyer une requête spécifiquement forgée au service afin d’exécuter du code arbitraire sur le système. Il aensuite la possibilité de modifier le système (installation ou suppression de programmes, création de comptes privilégiés).
Versions affectées :
- Windows XP (SP3 32 bits, SP2 Professional 64 bits, Embedded SP3 32 bits)
- Windows 7 (32 et 64 bits)
- Windows Server 2003 (32 et 64 bits)
- Windows Server 2008 (32 et 64 bits)
- Windows Server 2008 R2 64 bits, Itanium-based)
Versions non affectées :
- Windows 8
- Windows 10
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Mesures à prendre
Il est recommandé :
- De mettre à jour les systèmes concernés.
- Dans le cas échéant, filtrer le trafic entrant sur le port TCP/3389.
- Activer le mécanisme NLA (Network Level Authentication) sur les postes / serveurs vulnérables.
Lien Utiles
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
