Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft : un bogue Windows "wormable" pourrait conduire à un autre WannaCry
Les utilisateurs d'anciennes versions doivent appliquer le patch

Le , par Stéphane le calme

51PARTAGES

13  0 
Microsoft invite les utilisateurs d'anciennes versions de Windows à appliquer de toute urgence une mise à jour Windows aujourd'hui afin de se protéger contre une éventuelle attaque généralisée. L’éditeur a corrigé une vulnérabilité critique d'exécution de code à distance dans les Remote Desktop Services (une architecture centralisée qui permet à un utilisateur de se connecter sur un ordinateur distant utilisant Microsoft Terminal Services. Il utilise Remote Desktop Protocol pour l'affichage sur leTerminal Léger ainsi que la communication des périphériques) existants dans Windows XP, Windows 7 et des versions de serveur telles que Windows Server 2003, Windows Server 2008 R2 et Windows Server 2008.

Microsoft adopte l'approche très inhabituelle de la publication de correctifs pour Windows XP et Windows Server 2003, même si les deux systèmes d'exploitation ne sont plus pris en charge. Les utilisateurs de Windows XP devront télécharger manuellement la mise à jour à partir du catalogue de mises à jour de Microsoft.

Microsoft a avancé :

« Aujourd'hui, Microsoft a publié des correctifs pour une vulnérabilité critique d'exécution de code à distance, CVE-2019-0708, dans les Remote Desktop Services (anciennement connus sous le nom de Terminal Services) affectant certaines versions antérieures de Windows. Le protocole RDP (Remote Desktop Protocol) lui-même n'est pas vulnérable. Cette vulnérabilité est une pré-authentification et ne nécessite aucune interaction de l'utilisateur. En d'autres termes, la vulnérabilité est 'wormable', ce qui signifie que tout futur logiciel malveillant exploitant cette vulnérabilité pourrait se propager d'un ordinateur vulnérable à un ordinateur vulnérable de la même manière que le programme malveillant WannaCry répandu dans le monde entier en 2017. Nous n'avons observé aucune exploitation de cette vulnérabilité, il est fort probable que des acteurs malveillants écrivent un exploit pour cette vulnérabilité et l’intègrent dans leur logiciel malveillant ».

Microsoft affirme ne pas avoir observé d'exploits de cette vulnérabilité, mais maintenant que les correctifs sont publiés, ce n’est plus qu'une question de temps avant que les attaquants ne procèdent à l'ingénierie inverse des correctifs de Microsoft et créent des logiciels malveillants. Heureusement, les ordinateurs Windows 8 et Windows 10 ne sont pas concernés par cette vulnérabilité. Bien que Windows 10 soit maintenant plus populaire que Windows 7, il existe encore des millions de machines exécutant Windows 7, donc une éventuelle attaque pourrait prendre de grosses proportions.

CVE-2019-0708 nécessite une attaque à faible complexité pour être exploitée

CVE-2019-0708 nécessite une attaque à faible complexité pour être exploitée. Le calculateur de système de notation commun de vulnérabilité de Microsoft évalue cette complexité à 3,9 sur 10. Pour vous donner plus d’éclaircissements, les développeurs de WannaCry possédaient un puissant code d'exploitation qui a été développé par la National Security Agency - et qui lui a été volé - afin d'exploiter les “wormable” CVE-2017-0144 et CVE-2017-0145, où la complexité des exploitations était qualifiée "d’élevée". Il faut donc comprendre que développer un code d’exploitation fiable pour cette dernière vulnérabilité Windows nécessitera relativement peu de travail.

« L'exploitation de la vulnérabilité, décrite dans l'avis, nécessiterait simplement que quelqu'un envoie des paquets spécifiques sur le réseau à un système vulnérable disposant du service RDP », a déclaré Brian Bartholomew, chercheur en sécurité dans l'équipe mondiale d'analyse et de recherche de Kaspersky Lab. « Dans le passé, les exploits pour ce service étaient assez faciles à concevoir une fois le correctif inversé. Je suppose que quelqu'un publiera un exploit pour cela dans les prochains jours ».

Le chercheur indépendant Kevin Beaumont, citant des requêtes sur le moteur de recherche Shodan des ordinateurs connectés à Internet, a déclaré qu'environ 3 millions de terminaux RDP étaient directement exposés.


Tod Beardsley, directeur de la recherche à la firme de sécurité Rapid7, a déclaré qu'un autre scanner Internet, BinaryEdge, indique qu'il y aurait environ 16 millions de terminaux exposés à Internet sur les ports TCP 3389 et 3388, généralement réservés à RDP.

« Un RCE de pré-authentification dans RDP est une très grosse affaire », a estimé Beardsley. « Bien que nous donnions souvent le conseil de ne pas exposer RDP à Internet, beaucoup le font toujours (généralement par accident). Une grande partie du trafic d'attaque que nous voyons contre RDP semble être dirigée spécifiquement vers les systèmes de point de vente, alors je m’attend à ce qu’il y ait un nombre non négligeable de caisses enregistreuses en panne avec RDP exposées à Internet ».

Une autre société de sécurité, CyberX, a analysé le trafic de 850 systèmes de technologie opérationnelle, utilisés pour gérer les lignes de production en usine, la surveillance du gaz et d’autres types d’activités industrielles. Les chercheurs ont découvert que 53% d’entre eux exécutent des versions non prises en charge de Windows, dont beaucoup sont probablement affectées par la vulnérabilité récemment corrigée. L'absence de mise à niveau provient de la difficulté de mettre les ordinateurs hors ligne dans des environnements critiques fonctionnant en permanence.

Microsoft a rompu avec sa tradition de ne pas fournir de correctifs pour les systèmes d'exploitation Windows qui n'étaient plus pris en charge lorsque des milliers d'ordinateurs dans plus de 100 pays étaient affectés par un programme malveillant connu sous le nom de WannaCry. Le logiciel malveillant utilisait des failles dans les anciennes versions de Windows pour chiffrer des ordinateurs et exiger une rançon de 300 USD avant de le déverrouiller. Microsoft souhaite clairement éviter un autre serveur WannaCry, même s'il précise que « le meilleur moyen de remédier à cette vulnérabilité est de procéder à la mise à niveau vers la dernière version de Windows ».

lien pour télécharger le correctif sur Windows 7, Windows 2008 R2 et Windows 2008
lien pour télécharger le correctif sur Windows 2003 et Windows XP

Source : Microsoft

Et vous ?

Êtes-vous sur Windows sur votre machine privée et/ou professionnelle ? Quelle version utilisez-vous ?
Si vous n'êtes pas passé à Windows 10, quelles en sont les raisons ?
Allez-vous appliquer le correctif immédiatement ?

Voir aussi :

Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière le virus WannaCry, en partant d'un CV comme indice ?
WannaCry : les États-Unis incriminent officiellement la Corée du Nord, « avec un très haut niveau de certitude »
WannaCry : une partie des bitcoins liés aux rançons convertis en Monero, une cryptomonnaie dont les transactions seraient « non traçables »
Le chercheur britannique qui a arrêté WannaCry est accusé d'avoir créé et distribué le malware Kronos, un cheval de Troie qui a touché les USA

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Jipété
Expert éminent sénior https://www.developpez.com
Le 01/06/2019 à 13:32
Citation Envoyé par Stéphane le calme Voir le message
lien pour télécharger le correctif sur Windows 2003 et Windows XP

Et vous ?
Allez-vous appliquer le correctif immédiatement ?
Pas que je veuille pas, mais ça part mal :



2  0 
Avatar de AndMax
Membre éclairé https://www.developpez.com
Le 07/06/2019 à 13:51
Citation Envoyé par TheLastShot Voir le message
tu peux les croire et penser qu'il s'agit effectivement de régler un problème
Comme tu le dis, ce sont des croyances, pas des éléments vérifiés et démontrés. Par contre, l'histoire de la NSA a montré qu'elle agit uniquement pour ses propres intérêts, et non dans l'intérêt et la sécurité de l'ensemble des utilisateurs, et qu'il n'est jamais raisonnable de leur faire une confiance aveugle. Bref, comme cela a déjà été démontré par Snowden et bien d'autres, je ne me fais aucune illusion sur les intentions réelles de géants américains et de la NSA. Peut-être qu'il n'y a rien de malveillant dans ce patch, peut-être que c'est juste un leurre pour détourner l'attention d'une autre porte dérobée qui vient d'arriver via Windows Update, mais en attendant, rien n'est démontré, ni vérifiable facilement.

Sur d'autres systèmes d'exploitation, il est possible de faire auditer le code source d'un patch par des spécialistes, refaire son propre build, etc... c'est tout le contraire qui est proposé ici: installez cet exe et surtout ne vous posez aucune question.
2  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 08/06/2019 à 9:57
C'est du domaine du possible. Les failles dépendent de l'hypertread. Si tout le monde déactive l'hyperthread dans leur BIOS, ils perdent l'accès à leur portes dérobées.
Sauf que tu ne peux pas désactiver le Intel Management Engine. Et il semblerait qu'il y ai un core ARM non documenté dans les CPU Intel.
2  0 
Avatar de Madmac
Membre éprouvé https://www.developpez.com
Le 09/06/2019 à 1:19
Citation Envoyé par chrtophe Voir le message
Sauf que tu ne peux pas désactiver le Intel Management Engine. Et il semblerait qu'il y ai un core ARM non documenté dans les CPU Intel.
Effectivement, ce ne serais qu'une parade contre Meltdown, Spectre et compagnie. Quand on y réfléchie, pour espionner quelqu'un en temps réel, la solution passe forcément par une forme de threading .

Intel Management Engine, s'utiliserait avec les des jeux d'instructions non documenté. Mais compte tenu que les services de sécurité utilise des CPU Intel, il y a probablement également une sorte de BIOS bloquer le fonctionnement de ce CPU.



J'ai vu des vidéos qui prétende pouvoir le faire, mais comme ce j'ai pas d'ordinateur jetable pour faire ce test, Je ne peux rien certifier sur ce point.

2  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 07/06/2019 à 7:59
Citation Envoyé par AndMax Voir le message
ou alors vous avez la liberté de penser qu'ils ont quelque chose à cacher (peut-être la nouvelle version d'une porte dérobée)
Tu penses vraiment qu'ils s'emmerderaient à ajouter faire tout un foin pour ajouter une porte dérobé sur un système aussi alors qu'il existe déjà des outils permettant de contourner les protections et ce sans la moindre installation ? Après comme tu le dis (je vais juste un peut paraphraser), tu peux les croire et penser qu'il s'agit effectivement de régler un problème, ou tu peux croire à un n-ième complot en te basant sur aucune preuve... Sur ce, j'ai une réunion avec un groupe d'illuminati, je te laisse.
2  2 
Avatar de Madmac
Membre éprouvé https://www.developpez.com
Le 07/06/2019 à 21:50
Citation Envoyé par TheLastShot Voir le message
Tu penses vraiment qu'ils s'emmerderaient à ajouter faire tout un foin pour ajouter une porte dérobé sur un système aussi alors qu'il existe déjà des outils permettant de contourner les protections et ce sans la moindre installation ? Après comme tu le dis (je vais juste un peut paraphraser), tu peux les croire et penser qu'il s'agit effectivement de régler un problème, ou tu peux croire à un n-ième complot en te basant sur aucune preuve... Sur ce, j'ai une réunion avec un groupe d'illuminati, je te laisse.
C'est du domaine du possible. Les failles dépendent de l'hypertread. Si tout le monde déactive l'hyperthread dans leur BIOS, ils perdent l'accès à leur portes dérobées.
0  0 
Avatar de viper1094
Membre éclairé https://www.developpez.com
Le 23/06/2019 à 23:25
Citation Envoyé par Madmac Voir le message
Effectivement, ce ne serais qu'une parade contre Meltdown, Spectre et compagnie. Quand on y réfléchie, pour espionner quelqu'un en temps réel, la solution passe forcément par une forme de threading .

Intel Management Engine, s'utiliserait avec les des jeux d'instructions non documenté. Mais compte tenu que les services de sécurité utilise des CPU Intel, il y a probablement également une sorte de BIOS bloquer le fonctionnement de ce CPU.



J'ai vu des vidéos qui prétende pouvoir le faire, mais comme ce j'ai pas d'ordinateur jetable pour faire ce test, Je ne peux rien certifier sur ce point.

Intéressant cette histoire x).
Mais en soit, question d'un semi néophyte, contrôler nos entrées sortie internet a 100%, pendant 1mois, un an, sur un pc quasiment pas utilisé ( sauf 2/3 volontairement sur des sites louches) ne permettrait pas de savoir si récupération de données il y a ?
0  0 
Avatar de AndMax
Membre éclairé https://www.developpez.com
Le 24/06/2019 à 22:31
Citation Envoyé par viper1094 Voir le message
Intéressant cette histoire x).
Mais en soit, question d'un semi néophyte, contrôler nos entrées sortie internet a 100%, pendant 1mois, un an, sur un pc quasiment pas utilisé ( sauf 2/3 volontairement sur des sites louches) ne permettrait pas de savoir si récupération de données il y a ?
Contrôler tous les paquets d'un PC sous Windows utilisé pendant une petite heure est déjà un travail de titan (télémétrie, Windows Update, logiciels connectés, etc...), et pour voir ce qu'il y a dans la grande majorité des communications, il faut s'amuser à tout déchiffrer. Alors contrôler ce qui se passe pendant un mois est bien pire comme charge.

Ce que ça apporterait comme conclusion ? Pas grand chose. La semaine suivante, une mise à jour (ou "infection" pourrait tout changer et rendre le PC plus bavard. Bref, sous un OS privateur, ou sur des machines comme Intel qui ont un "management engine" avec porte dérobée intégrée, tout ce qui touche à la sécurité, c'est une affaire de croyance, et non une confiance méritée et vérifiable dans le cadre d'un audit permanent du code source.
0  0 
Avatar de viper1094
Membre éclairé https://www.developpez.com
Le 25/06/2019 à 2:39
Que ça apporterait pas grand chose peut être mais niveau travail de titan, j'ai déjà entendu parler de gars ayant fait pire pr checker la sécurité d'un truc style une rasberry pi. Alors bon tester Windows avec 4 gars qui se relaie a temps plein pendant un mois, c'est énorme mais faisable. Après il est question de ce qu'on pourrait en récupérer. Et la.. comme tu l'as dis, entre la cryptanalyse et autre donnée caché ( pt'être en sténographie qui sait), on a pas fini xD.
0  0 
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 07/06/2019 à 23:39
Citation Envoyé par AndMax Voir le message
Microsoft et la NSA recommandent l'installation d'un logiciel privateur, pour lequel il n'y a pas d'accès au code source, et même sur une vieille version de leur distribution (XP) pour laquelle il n'y avait en théorie plus aucun support ? Bref, soit vous avez une confiance aveugle, et vous vous moquez complètement de ce qui tourne sur votre machine, ou alors vous avez la liberté de penser qu'ils ont quelque chose à cacher (peut-être la nouvelle version d'une porte dérobée), et il serait alors urgent de décompiler ce patch pour vérifier, ou changer de système d'exploitation.
Oui mais qui est derrière tout cela en réalité ? les illuminatis ou les reptiliens ?

0  2 
Contacter le responsable de la rubrique Sécurité

Partenaire : Hébergement Web