
La NSA tient à attirer l’attention des utilisateurs de ces systèmes d’exploitation sur le fait que « des acteurs malveillants peuvent faire usage de cette vulnérabilité pour monter des attaques au rançongiciel ou s’en servir en même temps que d’autres exploits connus disponibles au sein de kits pour accroître la vulnérabilité de systèmes sur lesquels les correctifs n’ont pas été appliqués. »
« BlueKeep est une vulnérabilité au sein des Remote Desktop Services. Elle affecte Windows XP, Windows 7, Windows Server 2003, Windows Server 2008 et bien qu’un correctif de Microsoft soit disponible des millions d’ordinateurs demeurent vulnérables du fait de sa non application. C'est le type de vulnérabilité que les acteurs malveillants exploitent fréquemment en utilisant un code logiciel qui la cible de façon spécifique. Par exemple, elle pourrait être exploitée pour mener des attaques par déni de service. Ce n'est probablement qu'une question de temps avant que le code nécessaire à son exploitation à distance ne soit largement disponible », a rappelé la NSA. La probabilité pour qu’un code d’exploitation à distance soit disponible est élevée puisque les retours initiaux d’experts en cybersécurité font état de ce que l’utilisation du correctif de Microsoft à cette fin est assez aisée. « Dans le passé, les exploits pour ce service étaient assez faciles à concevoir une fois le correctif inversé. Je suppose que quelqu'un publiera un exploit pour cela dans les prochains jours », a souligné Brian Bartholomew – chercheur en sécurité dans l'équipe mondiale d'analyse et de recherche de Kaspersky Lab. De plus, la vulnérabilité nécessite une attaque à faible complexité pour être exploitée. « L'exploitation de la vulnérabilité nécessite simplement qu’un tiers malveillant envoie des paquets spécifiques via le réseau à un système vulnérable disposant du service RDP », a-t-il ajouté. Enfin, la vulnérabilité sur laquelle les avis de sécurité de la NSA et de Microsoft attirent l’attention n’est pas sans faire penser à WannaCry. En effet, son exploitation judicieuse peut aider à la mise sur pied d’attaques à réplication automatique, c’est-à-dire qui se propagent d’ordinateurs en ordinateurs sans intervention humaine.
D’après de récentes informations à ce sujet, les grosses organisations qui ont la charge de systèmes affectés se sont appuyées sur Microsoft et l’Agence Nationale de la Sécurité américaine pour les mises à jour. À défaut de migrer vers des versions du système d’exploitation de Microsoft comme Windows 10, les particuliers pourront procéder à la mise en œuvre des recommandations de la NSA : bloquer le port TCP 3389, activer l’authentification réseau ou désactiver les Remote Desktop Services s’ils sont inutilisés.
Il est rare que la NSA se prononce sur une vulnérabilité, bien qu'elle ait émis deux autres avis de sécurité cette année. En effet, l'agence d'espionnage américaine a joué un rôle indirect dans l'apparition d'un autre ver informatique en 2017 – le célèbre WannaCry. L'attaque a pu se propager à des centaines de milliers de machines grâce à une fuite d'une arme cybernétique de la NSA qui exploitait également une vulnérabilité des anciens systèmes Windows. La NSA aurait été au courant de la faille au moins cinq ans avant que l’apocalypse numérique ne survienne, mais elle ne l'a pas révélé à la firme de Redmond.


Sources : NSA, Business Insider
Et vous ?

Voir aussi :



