Un exploit public de la vulnérabilité BlueKeep sur Metasploit

Un exploit public concernant la vulnérabilité BlueKeep a été publié sur la plateforme Metasploit. Metasploit est un logiciel open source développé par Rapid7, qui permet notamment de réaliser de l’exécution d’exploits informatiques sur des systèmes vulnérables.

BlueKeep est la faille affectant le protocole RDP (Remote Desktop Protocol) sur les anciennes versions des systèmes d’exploitation Windows, qui permet à un attaquant d’exécuter du code arbitraire sur la machine cible, à distance et sans authentification.

Cette vulnérabilité, corrigée par Microsoft en Mai 2019 dans plusieurs correctifs de sécurité, a fait le sujet d’un bulletin ainsi que d’une alerte sur le portail Cyberveille.

Microsoft recommande fortement d’appliquer ces correctifs de sécurité au plus vite si cela n’a toujours pas été fait.

Détails techniques :

L’exploit mis en ligne ne permet pour l’instant que de viser de machines tournant sur les versions 64 bits de Windows 7 et Windows Server 2008 R2. Pour rappel, la vulnérabilité découverte affecte les versions XP, Vista, 7, Server 2003, Server 2008 et Server 2008 R2 de Windows.

De plus, l’exploitation n’est pas automatique, car il est nécessaire de renseigner certaines informations sur la machine cible, notamment sur sa version exacte et si c’est une machine virtuelle ou physique.

Il faut noter que si l’exploitation de la vulnérabilité est interrompu en cours de processus, il est très probable que la machine cible subisse un crash système.

Informations
+

Risques

  • Exécution de code arbitraire à distance sans authentification

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Un module d’exploitation est disponible publiquement pour le logiciel Metasploit

Composants & versions vulnérables

  • Windows 7 (64 bits)
  • Windows 2008 R2 (64 bits)

CVE

  • CVE-2019-0708

Recommandations
+

Mise en place de correctif de sécurité

  • Pour Windows 7, Server 2008 et Server 2008 R2, les correctifs de sécurité sont mentionnés ici.
  • Pour les versions qui ne sont plus supportées par Microsoft, Windows XP, Vista, Server 2003 et Server 2003 R2, Microsoft a exceptionnellement publié un correctif de sécurité mentionné ici.

Solution de contournement

  • Des mesures d'atténuation partielles sont appliquées aux systèmes touchés pour lesquels l'authentification au niveau du réseau (Network Level Authentication - NLA) est activée. Les systèmes affectés sont en effet protégés contre des logiciels malveillants de type "vers" (worms). 
  • Cependant, les systèmes affectés sont toujours vulnérables à l'exploitation du RCE (Remote Code Execution) si l'attaquant possède des identifiants valides qui peuvent être utilisés pour une authentification réussie.