Les responsables de la sécurité de Microsoft se disent confiants dans l’existence d’un exploit pour BlueKeep, la vulnérabilité récemment corrigée qui pourrait potentiellement déclencher des attaques à réplication automatique aussi destructrices que l’attaque WannaCry de 2017, cette dernière ayant arrêté des ordinateurs dans le monde entier.
Dans un billet de blog, des membres du Microsoft Security Response Center ont cité les conclusions publiées mardi par le PDG d'Errata Security, Rob Graham, selon lesquelles près d'un million d'ordinateurs connectés à Internet restent vulnérables aux attaques. Cela indique que ces machines doivent encore installer une mise à jour publiée par Microsoft il y a deux semaines, corrigeant la vulnérabilité dite BlueKeep, qui fait officiellement l'objet d'un suivi en tant que CVE-2019-0708. Les exploits peuvent exécuter de manière fiable du code malveillant sans interaction de la part d'un utilisateur final. La gravité de la situation a incité Microsoft à émettre des correctifs inhabituels pour Windows 2003, XP et Vista, qui n’étaient plus pris en charge depuis quatre, cinq et deux ans, respectivement.
Le message de jeudi annonçait une nouvelle fois que l'inaction pourrait déclencher un autre ver de l'ampleur de WannaCry, ce qui a poussé les hôpitaux à renvoyer des patients et paralysé des banques, des quais d'expédition et des centres de transport dans le monde entier.
« Le 14 mai, Microsoft a publié des correctifs pour une vulnérabilité critique d'exécution de code à distance, CVE-2019-0708, dans les services de bureau à distance (anciennement connus sous le nom de services de terminal) affectant certaines versions plus anciennes de Windows. Dans notre précédent billet de blog sur ce sujet, nous avions averti que la vulnérabilité était “wormable” et que les futurs logiciels malveillants qui exploiteraient cette vulnérabilité pourraient se propager d’ordinateur vulnérable à ordinateur vulnérable de la même manière que le programme malveillant WannaCry répandu dans le monde en 2017.
« Microsoft est convaincu qu'il existe un exploit pour cette vulnérabilité et, si les rapports récents sont exacts, près d'un million d'ordinateurs connectés directement à Internet sont toujours vulnérables à CVE-2019-0708. Beaucoup d'autres au sein des réseaux d'entreprise peuvent également être vulnérables. Un seul ordinateur vulnérable connecté à Internet suffit pour créer une passerelle vers ces réseaux d'entreprise, où des programmes malveillants avancés pourraient se propager et infecter les ordinateurs de l'entreprise. Ce scénario pourrait être encore pire pour ceux qui n'ont pas gardé leurs systèmes internes à jour avec les derniers correctifs, car tout logiciel malveillant futur pourrait également tenter d'exploiter davantage les vulnérabilités qui ont déjà été corrigées.
« Cela fait seulement deux semaines que le correctif a été publié et il n'y a encore aucun signe de ver. Cela ne signifie pas que nous sommes sortis de l’auberge. Si nous examinons les événements qui ont précédé le début des attaques WannaCry, ils servent à indiquer les risques de ne pas appliquer les correctifs de cette vulnérabilité en temps voulu.
« Notre recommandation reste la même. Nous recommandons fortement que tous les systèmes affectés soient mis à jour le plus rapidement possible ».
CVE-2019-0708 nécessite une attaque à faible complexité pour être exploitée
CVE-2019-0708 nécessite une attaque à faible complexité pour être exploitée. Le calculateur de système de notation commun de vulnérabilité de Microsoft évalue cette complexité à 3,9 sur 10. Pour vous donner plus d’éclaircissements, les développeurs de WannaCry possédaient un puissant code d'exploitation qui a été développé par la National Security Agency - et qui lui a été volé - afin d'exploiter les “wormable” CVE-2017-0144 et CVE-2017-0145, où la complexité des exploitations était qualifiée "d’élevée". Il faut donc comprendre que développer un code d’exploitation fiable pour cette dernière vulnérabilité Windows nécessitera relativement peu de travail.
« L'exploitation de la vulnérabilité, décrite dans l'avis, nécessiterait simplement que quelqu'un envoie des paquets spécifiques sur le réseau à un système vulnérable disposant du service RDP », a déclaré Brian Bartholomew, chercheur en sécurité dans l'équipe mondiale d'analyse et de recherche de Kaspersky Lab. « Dans le passé, les exploits pour ce service étaient assez faciles à concevoir une fois le correctif inversé. Je suppose que quelqu'un publiera un exploit pour cela dans les prochains jours ».
L’éditeur souligne l’urgence de la situation
Microsoft a rappelé aux utilisateurs que WannaCry n’a été diffusé que deux mois après la publication de MS17-010, la mise à jour qui corrigeait la vulnérabilité exploitée par WannaCry. Elle résidait dans SMBv1, une version ancienne du protocole de bloc de message du serveur qui permet à un ordinateur de partager des fichiers et des répertoires avec d'autres ordinateurs. Les experts en sécurité utilisent le terme « wormable » pour décrire la vulnérabilité en raison de sa capacité à déclencher des vers, qui sont des logiciels malveillants se reproduisant sur plusieurs ordinateurs en utilisant un réseau informatique comme Internet. Ils ont la capacité de se dupliquer une fois qu'ils ont été exécuté. Contrairement au virus, le ver se propage sans avoir besoin de se lier à d'autres programmes exécutables
La faille wormable BlueKeep, quant à elle, provient en revanche d’un bogue de type « dangling pointers » dans les services Bureau à distance, qui fournit une interface graphique pour la connexion à un autre ordinateur via Internet. Les « dangling pointers » sont des pointeurs qui ne pointent pas vers un objet valide du type approprié. Ce sont des cas spéciaux de violations de la sécurité de la mémoire.
Pour ne rien arranger, la firme de sécurité GreyNoise a observé des balayages de réseau opéré depuis Tor qui laissent penser à un recensement des ordinateurs exposés sur la toile. Ces derniers seraient selon eux effectués par une seule et même personne, en vue d’une attaque. Il est ainsi fortement conseillé de mettre les systèmes d’exploitation Windows XP et Windows 7 à jour si vous possédez un OS déprécié.
Bien sûr, la grande différence c’est qu’il y a deux ans, l’exploit Eternal Blue, qui a été développé par la National Security Agency, puis volée à cette dernière, a été rendu publique par un groupe de pirate appelé Shadow Brokers. Cette publication offrait un moyen simple de forcer de manière fiable les ordinateurs vulnérables à exécuter le code de leur choix même aux hackers inexpérimentés. Un mois plus tard, le ver WannaCry a réutilisé Eternal Blue et a fini par infecter les ordinateurs du monde entier en quelques heures.
Cette fois-ci, il n'y a pas eu de publication de code exploitant BlueKeep. Néanmoins, une poignée de hackers white hat ont rapporté que des exploits en développement indépendants se sont révélés être “wormable” comme Microsoft avait indiqué.
Microsoft a demandé à toute personne utilisant un ordinateur vulnérable de se mettre à jour immédiatement. La faille affecte les versions de Windows XP à Server 2008 R2. Toute personne utilisant l'une de ces versions doit s'assurer qu'un correctif est en place. I faut également vérifier que RDP (Remote Desktop Protocol) n'est pas exposé à Internet, sauf en cas de nécessité absolue. L’activation de l’authentification au niveau du réseau pour les services de postes de travail distants est une mesure utile, mais elle est inefficace contre les attaquants possédant des mots de passe réseau, ce qui est fréquent dans les infections par ransomware. Windows 8 et 10 ne sont pas affectés.
lien pour télécharger le correctif sur Windows 7, Windows 2008 R2 et Windows 2008
lien pour télécharger le correctif sur Windows 2003 et Windows XP
Source : Microsoft, GreyNoise Intelligence
Et vous ?
Êtes-vous sur Windows sur votre machine privée et/ou professionnelle ? Quelle version utilisez-vous ?
Si vous n'êtes pas passé à Windows 10, quelles en sont les raisons ?
Allez-vous appliquer le correctif immédiatement ?
Voir aussi :
Comment les autorités américaines ont-elles traqué l'un des hackers nord-coréens derrière le virus WannaCry, en partant d'un CV comme indice ?
WannaCry : les États-Unis incriminent officiellement la Corée du Nord, « avec un très haut niveau de certitude »
WannaCry : une partie des bitcoins liés aux rançons convertis en Monero, une cryptomonnaie dont les transactions seraient « non traçables »
Le chercheur britannique qui a arrêté WannaCry est accusé d'avoir créé et distribué le malware Kronos, un cheval de Troie qui a touché les USA
Près d'un million d'ordinateurs vulnérables à BlueKeep malgré la disponibilité d'un patch
L'exploiter pourrait être aussi dévastateur que WannaCry
Près d'un million d'ordinateurs vulnérables à BlueKeep malgré la disponibilité d'un patch
L'exploiter pourrait être aussi dévastateur que WannaCry
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !