Début juillet, plus de 805 000 systèmes en contact avec l'Internet restaient sensibles à la vulnérabilité de sécurité de BlueKeep, dont la nouvelle a effrayé l'Internet il y a deux mois et a déclenché une avalanche d'alertes demandant aux utilisateurs et aux organisations de corriger ce défaut critique dans l'immédiat.
Le décompte, publié hier par la société d'évaluation de la cybersécurité BitSight, montre également que le nombre de machines vulnérables destinées au public a chuté de 17 % entre le 31 mai et le 2 juillet, comparativement à l'estimation précédente de 972 000 effectué à la fin mai. Cela dit, ces données n’incluent pas les ordinateurs qui se trouvent dans des réseaux et qui sont cachés de la vue, mais qui peuvent tout de même être vulnérables aux attaques latérales.
En outre, BitSight a examiné les progrès réalisés en matière d'atténuation dans diverses industries. Bien que « des progrès aient été réalisés dans tous les domaines », les secteurs juridique, sans but lucratif/ONG et aérospatial/défense ont été les plus réceptifs à l’importance de se prémunir contre BlueKeep. Pendant ce temps, la liste des retardataires comprend les industries des biens de consommation, des services publics et de la technologie. Les télécommunications et l'éducation sont considérées comme les plus exposées dans l'ensemble.
En ce qui concerne les pays, les organisations en Chine et aux États-Unis demeurent les plus exposées, bien que ces deux nations aient toutes deux fait les plus grands progrès pour corriger la faille.
Pourquoi s'inquiéter?
Comme discuté plus en détail dans un de nos récents articles, la vulnérabilité de BlueKeep réside dans un composant Windows connu sous le nom de Remote Desktop Services. La faille, désignée CVE-2019-0708, affecte les versions Windows XP, Windows 7, Windows Server 2003 et Windows Server 2008. En revanche, Windows 8 et Windows 10 ne sont pas concernés.
Les inquiétudes abondent quant au fait qu'un exploit ciblant la vulnérabilité de l'exécution à distance du code (RCE) pourrait bientôt se répandre sur Internet et causer des dommages indicibles, permettant aux pirates d'accéder à un système par une porte dérobée et sans exiger d'informations d'identification ou d'interaction des utilisateurs. De plus, la faille est vermouillable, ce qui signifie que les exploits peuvent l'utiliser pour répandre des logiciels malveillants à l'intérieur ou à l'extérieur des réseaux. C’était aussi le cas avec WannaCryptor, également connu sous le nom de WannaCry, en mai 2017.
Depuis le déploiement du correctif le 14 mai, Microsoft a émis deux alertes demandant aux utilisateurs et aux administrateurs d'installer le correctif. La National Security Agency (NSA) des États-Unis et, plus récemment, la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security (DHS) des États-Unis ont toutes deux émis de rares avertissements.
Les chercheurs en sécurité ont été capables de créer plusieurs exploits comme preuve de concept. Cependant, aucun de ceux-ci n'est accessible au public. Heureusement, il n'y a aucune preuve que BlueKeep soit exploité dans la nature, bien que l'on croit qu'il ne faudra pas longtemps avant que les cybercriminels ne déploient un exploit fonctionnel de leur côté.