ALERTE - Vulnérabilité serveur DHCP de Windows (15.05.19)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE - Vulnérabilité serveur DHCP de Windows (15.05.19)

Messagede pierre » 16 Mai 2019, 07:41

ALERTE - Vulnérabilité dans le serveur DHCP de Windows


Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows Vista
Windows 2003
Windows XP

Résumé
[Mise à jour du 22 mai 2019 : Informations complémentaires et situation]

Le 14 mai 2019, lors de sa mise à jour mensuelle, Microsoft a publié un correctif pour une vulnérabilité identifiée comme CVE-2019-0708 [1].
Cette vulnérabilité impactant les services de bureau à distance (Remote Desktop Services, RDS), qui utilisent eux même le protocole de bureau à distance (Remote Desktop Protocol, RDP), permet l'exécution de code arbitraire sur un système vulnérable, et ce sans authentification ni interaction d'un utilisateur.

De par le risque particulièrement important qui découlerait d'une exploitation de cette faille, elle a fait l'objet d'un traitement spécifique de la part de l'éditeur. En effet, en plus des correctifs pour les systèmes actuellement maintenus par Microsoft, la compagnie a également rendu disponible des mises à jours exceptionnelles pour certains des anciens systèmes n'étant plus pris en charge. Cela comprend les systèmes Windows 2003 ainsi que Windows XP.

Aucun correctif n'est disponible pour Windows Vista, bien que le CERT-FR confirme que ce système soit lui aussi affecté.

De plus, une publication de l'éditeur alertant sur le caractère singulier de cette faille et mettant en garde contre un risque d'attaque par un ver informatique exploitant la CVE-2019-0708 a été mise en ligne sur le blog de Microsoft [2].

À la date du 22 mai 2019, aucun code d’exploitation public n’est disponible. Cependant, plusieurs sources fiables sur Internet se font l'écho de l’existence de tels codes, rendant alors crédible le risque de divulgation des détails techniques et l’exploitation automatisée qui pourrait suivre.

Une proposition de règle de détection s'appuyant sur certaines caractéristiques de la vulnérabilité a été rendue publique par NCC Group [3]. Il est ainsi possible dans certains cas de détecter une tentative d'exploitation. Cependant, dans le cas général les communications passent par un canal chiffré ce qui rend les détections au niveau du réseau compliquées.
Recommandations

Le CERT-FR recommande en premier lieu l'application des correctifs disponibles dans les plus brefs délais.

Les systèmes vulnérables doivent être identifiés et les mesures suivantes doivent être appliquées au plus vite :

Systèmes d'exploitation Mesures

Windows 7
Windows Server 2008
En fonction de la configuration de NLA, les machines sont vulnérables en pré-authentification ou en post authentification. Pour que la vulnérabilité ne soit pas exploitable en pré-authentification, NLA doit être activé (cf. section Contournement provisoire)
L’ANSSI recommande donc de déployer, par GPO si applicable, l’activation de NLA pour le service RDS.
Quelle que soit la configuration, les correctifs doivent être appliqués sur ces systèmes.
Il est rappelé que la fin du support de ces systèmes d’exploitation étant proche (14 janvier 2020), il est nécessaire de migrer vers des versions supportées.

Windows XP
Windows Server 2003

Ces systèmes ne sont plus supportés par l’éditeur et aucun mécanisme de défense en profondeur n’est disponible pour réduire la gravité de cette vulnérabilité.
Aucune machine avec ces versions de Windows ne doit être connectée à Internet ou à un réseau local ni administrée par ce vecteur.
Bien que des correctifs soient disponibles pour ces versions de Windows, le remplacement vers des systèmes soutenus par l’éditeur doit être réalisé en urgence.

Contournement provisoire
Pour éviter l’exploitation en pré-authentification, il est possible d'utiliser la fonctionnalité NLA (Network Level Authentication) qui force une authentification du client lors de l’initialisation de la connexion RDP.

La fonctionnalité NLA est implémentée depuis Windows Vista et Windows Server 2008 mais n’est pas forcément imposée par la configuration du service RDS. Il n’existe pas de configuration par défaut relative à l’activation de cette fonctionnalité et l’administrateur définit ces paramètres lors de l’installation.

L'activation de ce mécanisme de sécurité pourra se faire à l'aide de la GPO suivante (version française puis version anglaise):

GPO > Configuration ordinateur > Modèles d’administration > Composants Windows > Service Bureau à distance > Hôte de la session Bureau à distance > Sécurité

GPO > Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
[1] Bulletin de sécurité Microsoft CVE-2019-0708 du 14 mai 2019
https://portal.msrc.microsoft.com/fr-FR ... -2019-0708

[2] Publication de blogue de Microsoft sur la vulnérabilité CVE-2019-0708
https://blogs.technet.microsoft.com/msr ... 2019-0708/

[3] Règle de détection réseau Suricata de NCC Group pour la CVE-2019-0708
https://github.com/nccgroup/Cyber-Defen ... 9_0708.txt

Avis CERT-FR CERTFR-2019-AVI-223
https://cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-223/

Référence CVE CVE-2019-0708
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-0708
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24930
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE - Vulnérabilité serveur DHCP de Windows (15.05.19

Messagede pierre » 22 Mai 2019, 17:30

Mise à jour de l'alerte.

le 22 mai 2019
Informations complémentaires sur les systèmes impactés, les recommandations et les contournements provisoires

le 15 mai 2019
Version initiale
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24930
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE - Vulnérabilité serveur DHCP de Windows (15.05.19

Messagede pierre » 27 Juin 2019, 18:43

Alerte cloturée
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24930
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités