Des chercheurs identifient une première exploitation potentielle à grande échelle de la vulnérabilité BlueKeep

Des chercheurs en sécurité informatique ont détecté une nouvelle attaque qui serait la toute première tentative d’exploitation de masse de la fameuse vulnérabilité RDP BlueKeep.

Pour rappel, BlueKeep, identifiée par le code CVE-2019-0708, est une vulnérabilité critique affectant les systèmes Windows antérieurs à Windows 8 corrigée en mai 2019 par Microsoft. Cette vulnérabilité est de type « ver informatique possible » (« wormable ») car celle-ci peut être utilisée pour infecter un parc informatique à partir d’une seule machine vulnérable, d’où sa criticité. La vulnérabilité réside dans le protocole RDP (« Remote Desktop Protocol », protocole de bureau à distance) qui est un protocole réseau présent et actif sur de nombreux ordinateurs et serveurs Windows. Un mois après le correctif de sécurité, plus d’un million de serveurs exposés sur internet étaient toujours affectés par cette vulnérabilité et ne disposaient pas du dernier correctif de sécurité. BlueKeep a déjà fait l’objet de deux bulletins (disponibles ici et ) et d’une alerte.

L’attaque en question a pour objectif d’installer des mineurs de cryptomonnaie sur les machines vulnérables et exposées sur internet.

Détails techniques :

  • CVE-2019-0708 [CVSSv3 9.8] : Bien qu’il existe déjà depuis plusieurs mois des preuves de concept créées par des chercheurs, mais gardées confidentielles au vu de la criticité de la vulnérabilité et le nombre de systèmes encore vulnérables, il s’agit de la première exploitation de masse identifiée. Celle-ci a été repérée sur des serveurs « pot de miel » (« honeypot ») ; ce sont des serveurs exposés volontairement sur internet avec des versions vulnérables pour tenter d’attirer et de détecter l’exploitation de la vulnérabilité. Il a ainsi pu être défini que des attaquants utilisaient BlueKeep pour installer des mineurs de la cryptomonnaie « Monero ». Le composant malveillant installé ne présente pas les caractéristiques d’un ver, en effet celui-ci n’impacte que les machines vulnérables et ne se propage pas à travers le réseau.
Informations
+

Risques

  • Exécution arbitraire de code à distance et sans authentification

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Il existe un module d’exploitation disponible publiquement pour le logiciel Metasploit affectant les systèmes Windows 7 et Windows 2008 R2. Cependant le lien avec l'exploitation à grande échelle n'est pas avéré. 

Composants & versions vulnérables

  • Windows 7 (détail des versions affectées disponibles ici)
  • Windows Server 2008 (détail des versions affectées disponibles ici)

CVE

  • CVE-2019-0708

Recommandations
+

Mise en place de correctif de sécurité

  • Un correctif de sécurité a été mis en place par les équipes de Microsoft en mai 2019.

Solution de contournement

Il est fortement conseillé d’appliquer les correctifs de sécurité publiés en mai 2019 par Microsoft. En cas d’impossibilité de mise à jour, les solutions de contournement suivantes peuvent limiter l’exploitation de la vulnérabilité BlueKeep :

  • Désactiver le protocole RDP si celui-ci n’est pas requis
  • Bloquer le port 3389 à l’aide d’un pare-feu ou n’autoriser l’accès qu’à travers un VPN