Microsoft a publié cette semaine des correctifs pour quatre vulnérabilités critiques dans Remote Desktop Services (RDS), en comparant deux d'entre elles à « BlueKeep », une autre faille critique dans le même composant Windows.
Les quatre failles du Remote Code Execution (RCE) - identifiées comme CVE‑2019‑1181, CVE‑2019‑1182, CVE‑2019‑1222 et CVE‑2019‑1226 - peuvent être exploitées par les attaquants qui envoient un message RDP (Remote Desktop Protocol) spécialement conçu à RDS.
« Un attaquant exploitant avec succès cette vulnérabilité pourrait exécuter du code arbitraire sur le système cible. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d'utilisateur », explique l’avis commun aux quatre défauts.
De plus, les deux premières failles sont vermouillables (traduction de wormable) et ressemblent donc fortement à BlueKeep, ainsi qu'à une faille dans une ancienne version de l'implémentation SMB (Server Message Block) de Microsoft qui a permis à WannaCryptor, aussi connu sous le nom de WannaCry, en 2017.
Par conséquent, les exploits peuvent utiliser l'une ou l'autre de ces nouvelles vulnérabilités pour propager des logiciels malveillants d'un système non corrigé à un autre sans aucune interaction de l'utilisateur. C'est ce qui a finalement incité le Microsoft Security Response Center (MSRC) à émettre une alerte de correctifs.
« Il est important que les systèmes affectés soient corrigés le plus rapidement possible en raison des risques élevés associés à des vulnérabilités vermouillables comme celles-ci », déclare Microsoft. La société a noté que les ordinateurs dont les mises à jour automatiques sont activées sont automatiquement protégés par ces correctifs. La menace, qui plane surtout sur les organisations, peut également être partiellement atténuée, notamment en activant l'authentification de niveau Réseau.
Contrairement à BlueKeep, ces bogues affectent les versions plus récentes de Windows - Windows 10, y compris les versions serveur, ainsi que Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1 et Windows Server 2012 R2. En revanche, Windows XP, Windows Server 2003 et Windows Server 2008 ne sont pas affectés cette fois-ci.
Contrairement à BlueKeep, qui a été découvert par le National Cyber Security Centre (NCSC) du Royaume-Uni, les deux nouvelles vulnérabilités vermouillables, ont été identifiées par Microsoft elle-même alors que l'entreprise renforçait la sécurité du RDS.
« Nous n'avons pour le moment aucune preuve que ces vulnérabilités étaient connues d'une tierce partie », souligne l'entreprise.
Les quatre correctifs ont été publiés dans le cadre du Patch Tuesday de ce mois-ci. Selon le décompte de Qualys, 93 failles de sécurité, dont 29 considérées comme critiques, ont été corrigées dans ce lot de mises à jour de sécurité. Edge, Internet Explorer, Outlook et Office font tous partie des produits où les correctifs devraient être appliqués le plus tôt possible.
La liste de correctifs de ce mois-ci est résumée dans ce tableau établi par le SANS Technology Institute.