La vulnérabilité BlueKeep reste une menace persistante pour le secteur de la santé

En mai 2019, Microsoft publiait un correctif de sécurité permettant d’adresser une vulnérabilité (CVE-2019-0708) impactant les services de bureau à distance (Remote Desktop Service : RDS), basé sur le protocole de bureau à distance « Remote Desktop Protocol » (RDP), régulièrement utilisé dans le cadre de l'administration à distance.

Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance sur un système vulnérable en envoyant un paquet réseau spécifique. Il ne requiert pas d’authentification, ni d’interaction d'un utilisateur.

BlueKeep ayant un score CVSS v3 de 9,8/10, la vulnérabilité a fait l’objet d’une attention toute particulière de la part de Microsoft. En effet, comme Wannacry (MS17_010) en mai 2017, des correctifs pour l’ensemble des systèmes affectés ont été publiés, y compris pour Windows XP et Windows Server 2003 qui ne sont plus maintenus depuis, respectivement, le 8 avril 2014 et le 14 juillet 2015.

Les systèmes d’information de santé disposent de réseaux étendus connectés à de nombreux systèmes souvent utilisés quotidiennement. Cependant, en raison de la complexité et des coûts importants liés à leur mise à niveau et au remplacement des composants logiciels et matériels, les systèmes d'information de santé ont tendance à s'appuyer sur les technologies obsolètes. Les contraintes de disponibilité des produits de santé rendent également difficile l’application des correctifs de sécurité en temps contraints, ceux-ci pouvant entraîner des impacts sur les soins administrés aux patients dans les structures de santé.

Cette combinaison de facteurs (réseau exposé, obsolescence de  logiciels et composants, absence de mises à jour sécurité et sensibilité des informations manipulées) font des systèmes d’information de santé des cibles de choix pour les attaquants, notamment aux Etats-Unis.

Les établissements de santé doivent donc rester vigilants vis-à-vis des cyberattaques visant leur système d'information. En parallèle, il est nécessaire de mettre en place un processus de mise à niveau des équipements obsolètes et un processus d’application des correctifs de sécurité. Les équipements ne pouvant être mis à jour (absence de mise à jour de sécurité, incompatibilité matérielle, etc.) doivent être, dans la mesure du possible, isolés du reste du réseau et déconnectés d’Internet.

Informations
+

Risques

  • Exécution de code à distance

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.
  • De nombreux PoC (Proof Of Concept) ont été publiés sur Internet, bien qu’aucun ne soit exploitable à grande échelle en l’état. Ils peuvent être adaptés pour viser une infrastructure spécifique.

Composants & versions vulnérables

  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Vista
  • Windows 2003
  • Windows XP

CVE


Recommandations
+

Mise en place de correctif de sécurité

Solution de contournement

  • Il est nécessaire d’isoler, notamment d’Internet, les équipements ne pouvant pas être mis à jour.