ALERTE : Vulnérabilité Windows XP et Server 2003 (14.04.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité Windows XP et Server 2003 (14.04.17)

Messagede pierre » 18 04 2017

ALERTE : Vulnérabilité dans RDP pour Microsoft Windows XP et Windows Server 2003 (14 avril 2017)

Version initiale de l'alerte
14 avril 2017

Source
Aucune

1 - Risque(s)
exécution de code arbitraire à distance
élévation de privilèges

2 - Systèmes affectés
Microsoft Windows XP et Windows Server 2003, tous services packs confondus, lorsqu'ils font partie d'un domaine Active Directory

3 - Résumé
Une vulnérabilité a été découverte dans RDP pour Windows XP et Windows Server 2003. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges.

4 - Contournement provisoire
Le 14 avril 2017, le groupe d'attaquants Shadowbrokers a publié une nouvelle archive contenant des outils offensifs.
Parmi ceux-ci se trouve, entres autres, un code permettant l'exploitation d'une vulnérabilité accessible par le service Remote Desktop Protocol (RDP).

Le composant affecté correspond au service d'authentification par carte à puce, exposé via l'extension RDP Smart Card Virtual Channel. Quand les machines sont membres d'un domaine, ce composant est activé par défaut et accessible via le protocole RDP (port TCP 3389).

La vulnérabilité est présente même si l'authentification par carte à puce n'est pas utilisée. Le code d'attaque, désormais disponible publiquement, permet d'obtenir une exécution de code arbitraire à distance avec les privilèges SYSTEM (privilèges les plus élevés Ring 0).

Image


Recommandation : filtrer le service RDP (port TCP 3389) sur les machines accessibles sur Internet.

De manière plus générale, Windows XP et Windows Server 2003 sont des systèmes d'exploitation ayant dépassé leur fin de vie. Ils ne recevront pas de correctif. Ils resteront vulnérables (la faille ne sera pas corrigée) tant que la mesure de contournement ci-dessus ne sera pas appliquée.

5 - Documentation
Les systèmes et logiciels obsolètes
Obsolescence des systèmes d'exploitation et des grands logiciels
Avatar de l’utilisateur
pierre
 
Messages: 21244
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité Windows XP et Server 2003 (14.04.

Messagede pierre » 21 04 2017

Date de la dernière version
19 avril 2017
Extension de l'alerte à d'autres composants vulnérables.

4 - Contournement provisoire
Le 14 avril 2017, le groupe d'attaquants Shadowbrokers a publié une nouvelle archive contenant des outils offensifs.
Parmi ceux-ci se trouvent des codes permettant d'exploiter :

Remote Desktop Protocol (RDP)
Un code permet l'exploitation d'une vulnérabilité accessible par le service Remote Desktop Protocol.
Le composant affecté correspond au service d'authentification par carte à puce, exposé via l'extension RDP Smart Card Virtual Channel. Quand les machines sont membres d'un domaine Active Directory, ce composant est activé par défaut et accessible via le protocole RDP (port TCP 3389).
La vulnérabilité est présente même si l'authentification par carte à puce n'est pas utilisée. Le code d'attaque disponible publiquement permet d'obtenir une exécution de code arbitraire à distance avec les privilèges SYSTEM. (privilèges les plus élevés Ring 0).

Image

Recommandation : filtrer l'accès au service RDP (port TCP 3389), que les machines soient accessibles ou non sur Internet, afin que seules des machines de confiance puissent s'y connecter.
De manière générale, il est toujours déconseillé d'utiliser des systèmes et logiciels obsolètes (en fin de vie et donc plus maintenus) (cf. section Documentation). Windows XP et Windows Server 2003 sont des systèmes d'exploitation ayant dépassé leur fin de vie. Ils ne recevront pas de correctif. Ils resteront vulnérables (la faille ne sera pas corrigée) tant que la mesure de contournement ci-dessus ne sera pas appliquée.

Microsoft Server Message Block (SMB)
Plusieurs codes d'exploitation ciblent le serveur SMB de Windows et permettent une exécution de code arbitraire à distance avec des privilèges élevés (noyau).

Microsoft Exchange
L'un des codes permet d'obtenir une exécution de code à distance sur les versions de Microsoft Exchange 2007 et antérieures.

Internet Information Services (IIS)
Le module WebDAV du serveur IIS est ciblé par l'un des codes d'exploitation qui permet d'obtenir une exécution de code arbitraire à distance avec les privilèges SYSTEM.

Recommandations
Bien que des systèmes comme Microsoft Windows XP et Windows Server 2003 ne sont plus maintenus depuis plusieurs années, force est de constater que leur présence dans les parcs informatiques est toujours non négligeable. Avec la mise à disposition publique de plus en plus de codes d'exploitation ciblant ces systèmes obsolètes, les risques augmentent en conséquence, en particulier pour les systèmes accessibles sur internet.

Même s'il est possible de tenter de réduire la surface d'attaque en filtrant les communications vers les services vulnérables ou en les désactivant, il faut considérer que, d'une manière générale, les systèmes en fin de vie donnent aux attaquants un moyen d'accès ou de déplacement latéral à moindre coût.

Les mesures de sécurité compensatoires devront donc être évaluées et les risques résiduels formellement acceptés.
Il est important de migrer vers des versions maintenues et à jour par les éditeurs (cf. section Documentation).


5 - Documentation
Les systèmes et logiciels obsolètes
Obsolescence des systèmes d'exploitation et des grands logiciels
Avatar de l’utilisateur
pierre
 
Messages: 21244
Inscription: 20 05 2002
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités

cron