Multiples vulnérabilités critiques dans Microsoft Remote Desktop Services

Microsoft a publié un correctif mensuel, adressant plusieurs vulnérabilités affectant les services de bureau à distance (RDS).

Ces vulnérabilités jugées critiques permettent de faire de l’exécution de code arbitraire à distance.

Elles permettent à un attaquant non authentifié de faire de l'exécution de code à distance sur les services de bureau à distance. L'exploitation est possible lorsque celui-ci se connecte au système cible à l'aide de RDP (Remote Desktop Protocol) et envoie des requêtes spécialement conçues.

Ces vulnérabilités se situent dans la pré-authentification et ne nécessitent aucune interaction de la part d'un utilisateur. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du code arbitraire sur le système cible. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d'utilisateur complets.

Ces mises à jour corrigent ces vulnérabilités en modifiant la façon dont les services de bureau à distance traitent les demandes de connexion.

Selon Microsoft, ces vulnérabilités concernent les systèmes Windows Server 2008 R2, Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2, WIndows 2016, Windows Server 2019, Windows 7 Sp1, Windows 8.1, Windows RT 8.1 ainsi que toutes les versions supportées de Windows 10.

Informations
+

Risque 

  • Exécution de code arbitraire

Criticité 

  • Score CVSS : 9,8 (score de vulnérabilité le plus élevé)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible publiquement

Composants et versions vulnérables

  • Windows 7 SP1
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2008 R2 SP1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

CVE 


Recommandations
+

Mise en place de correctif de sécurité

  • Les correctifs du 13 Août 2019 publié par Microsoft permettent de corriger ces vulnérabilités.

Solution de contournement

  • Un contournement partiel est possible. Lorsque le protocole Network Level Authentication (NLA) est activé, celui-ci force l’authentification du client lors de l’initialisation d’une connexion avec le service RDS. Cela a pour conséquence d’empêcher l’exploitation de ces failles en pré authentification.