ALERTE : Multiples vuln MS Win XP et Server 2003 (15.05.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Multiples vuln MS Win XP et Server 2003 (15.05.17)

Messagede pierre » 16 05 2017

ALERTE - Multiples vulnérabilités dans Microsoft Windows XP et Windows Server 2003 (15 mai 2017)

1 - Risque(s)
exécution de code arbitraire à distance
élévation de privilèges

2 - Systèmes affectés
Microsoft Windows XP et Windows Server 2003, tous services packs confondus

3 - Résumé
De multiples vulnérabilités ont été découvertes dans Windows XP et Windows Server 2003. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges.
Ces failles et codes d'exploitation ont permis la propagation d'un rançongiciel appelé WanaCrypt (ou WanaCrypt0r) exploitant les vulnérabilités MS17-010 (12 mai 2017) ( viewtopic.php?f=173&t=31988 ) mais ce n'est pas la seule attaque liée à l'exploitation de cette faille.

4 - Contournement provisoire
Le 14 avril 2017, le groupe d'attaquants Shadowbrokers a publié une nouvelle archive contenant des outils offensifs.
Parmi ceux-ci se trouvent des codes permettant d'exploiter :
Remote Desktop Protocol (RDP)

Un code permet l'exploitation d'une vulnérabilité accessible par le service Remote Desktop Protocol.

Le composant affecté correspond au service d'authentification par carte à puce, exposé via l'extension RDP Smart Card Virtual Channel. Quand les machines sont membres d'un domaine Active Directory, ce composant est activé par défaut et accessible via le protocole RDP (port TCP 3389).

La vulnérabilité est présente même si l'authentification par carte à puce n'est pas utilisée.

Le code d'attaque disponible publiquement permet d'obtenir une exécution de code arbitraire à distance avec les privilèges SYSTEM.

Filtrez l'accès au service RDP (port TCP 3389), que les machines soient accessibles ou non sur internet, afin que seules des machines de confiance puissent s'y connecter.

Évidemment, et de manière plus générale, il est déconseillé d'utiliser des systèmes en fin de vie (cf. section Documentation).

Microsoft Server Message Block (SMB)
Plusieurs codes d'exploitation ciblent le serveur SMB de Windows et permettent une exécution de code arbitraire à distance avec des privilèges élevés (noyau - Ring 0).

Le 12 mai 2017, l'une des vulnérabilités SMB a été exploitée dans le cadre d'une campagne de propagation de rançongiciels (voir viewtopic.php?f=173&t=31988 ). Au vu de l'ampleur de la menace et à titre exceptionnel, Microsoft a publié un correctif de sécurité ( voir viewtopic.php?f=173&t=31988 ) pour des systèmes qui ne sont plus maintenus depuis de nombreux mois, voire plusieurs années.

L'exploitation avérée à grande échelle de cette vulnérabilité rend d'autant plus critique l'installation des correctifs dans les plus brefs délais et la migration des systèmes obsolètes. Pourtant, de nombreuses entreprises ont un vaste parc sous Windows XP et des applications propriétaires sous WIndows XP. Le coût d'une migration ne peut pas être toujours envisagé (bien qu'une attaque réussie puisse conduire à la fermeture définitive d'une entreprise).

Microsoft Exchange
L'un des codes permet d'obtenir une exécution de code à distance sur les versions de Microsoft Exchange 2007 et antérieures.

Internet Information Services (IIS)
Le module WebDAV du serveur IIS est ciblé par l'un des codes d'exploitation qui permet d'obtenir une exécution de code arbitraire à distance avec les privilèges SYSTEM.

Recommandations
Bien que des systèmes comme Microsoft Windows XP et Windows Server 2003 ne sont plus maintenus depuis plusieurs années, force est de constater que leur présence dans les parcs informatiques est toujours non négligeable. Avec la mise à disposition publique de plus en plus de codes d'exploitation ciblant ces systèmes obsolètes, les risques augmentent en conséquence, en particulier pour les systèmes accessibles sur internet.

Même s'il est possible de tenter de réduire la surface d'attaque en filtrant les communications vers les services vulnérables ou en les désactivant, il faut considérer que, d'une manière générale, les systèmes en fin de vie donnent aux attaquants un moyen d'accès ou de déplacement latéral à moindre coût.

Les mesures de sécurité compensatoires devront donc être évaluées et les risques résiduels formellement acceptés.

La migration vers une version de Windows maintenue doit être envisagée. Il faut essayer le comportement d'applications anciennes en mode de compatibilité.

5 - Documentation
viewtopic.php?f=173&t=31988&start=10#p175390
Portant récapitulation des solutions actuelles, dont

Patch Microsoft pour les systèmes normalement abandonnés
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Avatar de l’utilisateur
pierre
 
Messages: 22248
Inscription: 20 05 2002
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités