ALERTE : Multiples vuln serveur pass RDP Windows (14.01.20)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Multiples vuln serveur pass RDP Windows (14.01.20)

Messagede pierre » 14 Jan 2020, 23:28

ALERTE : Multiples vulnérabilités dans le serveur de passerelle RDP de Windows

Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019

Résumé
Depuis Microsoft Windows Server 2012, la passerelle d'accès distant Microsoft Remote Desktop Gateway (RD Gateway) intègre par défaut de nouvelles fonctionnalités dénommées RemoteFX améliorant la prise en charge de certains contenus multimédias et également l'optimisation du trafic réseau sur des liaisons de faible capacité. Dénommée RemoteFX for WAN, cette optimisation réseau permet de mettre en oeuvre le protocole RDP sur UDP avec chiffrement DTLS.

La fonction principale de la solution RD Gateway est de cloisonner les flux internes nécessaires au fonctionnement des Remote Desktop Services et de ne présenter que des interfaces HTTPS et DTLS sur Internet.

Le 14 janvier, Microsoft a émis deux avis de sécurité concernant deux vulnérabilités qui permettent une exécution de code à distance sans authentification préalable.

Qu'elle soit exposée sur Internet ou bien située sur une interconnexion du système d'information, une telle passerelle est de par sa fonction exposée. Elle constitue un élément critique de l'architecture d'un réseau et toute vulnérabilité doit donc être corrigée dans les plus brefs délais.

Solution
L'ANSSI recommande d'appliquer les correctifs mis à disposition par Microsoft dans le cadre de son programme Patch Tuesday (en date du 14 janvier) sans délai.

Dans l'éventualité où ces correctifs ne sont pas applicables rapidement, l'ANSSI suggère de désactiver le transport UDP pour le service Remote Desktop Gateway. Par ailleurs, ce mode de transport est voué à améliorer l'expérience utilisateur en cas d'utilisation d'un réseau de faible capacité, par conséquent, si le besoin n'est pas avéré, il est fortement recommandé de désactiver définitivement ce mode de transport.

La désactivation du transport UDP s'applique en passant par les propriétés du serveur RD Gateway :

Dans l'onglet « Transport Parameters », « UDP transport parameters », décocher la case « enable UDP transport »
Dans l'onglet « SSL bridging », décocher « utiliser le SSL bridging », décocher la case « HTTPS-HTTP bridging »

Documentation
Avis CERT-FR CERTFR-2020-AVI-026 du 14 janvier 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-026/

Avis de sécurité Microsoft du 14 janvier 2020
https://portal.msrc.microsoft.com/fr-FR ... y-guidance

Note de publication Microsoft du 14 janvier 2020
https://portal.msrc.microsoft.com/fr-fr ... l/2020-Jan

Référence CVE CVE-2020-0609
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-0609

Référence CVE CVE-2020-0610
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-0610
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27027
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Multiples vuln serveur pass RDP Windows (14.01.

Messagede pierre » 29 Jan 2020, 21:42

Mise à jour du 29.01.20


Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019

Résumé
[Mise à jour du 29 janvier 2020]
Du code d'attaque est désormais disponible publiquement concernant l'exploitation des vulnérabilités CVE-2020-0609 et CVE-2020-0610.
Pour l'instant, le code publique ne permet en l'état qu'un déni de service. Toutefois, il a été annoncé que du code d'attaque permettant une exécution de code arbitraire à distance sera bientôt publié. Cela rendra possible l'exploitation de ces vulnérabilités même à des attaquants d'un faible niveau technique.
Le CERT-FR insiste sur l'importance d'appliquer les correctifs dans les plus brefs délais.

[Version Initiale]
Depuis Microsoft Windows Server 2012, la passerelle d'accès distant Microsoft Remote Desktop Gateway (RD Gateway) intègre par défaut de nouvelles fonctionnalités dénommées RemoteFX améliorant la prise en charge de certains contenus multimédias et également l'optimisation du trafic réseau sur des liaisons de faible capacité. Dénommée RemoteFX for WAN, cette optimisation réseau permet de mettre en oeuvre le protocole RDP sur UDP avec chiffrement DTLS.

La fonction principale de la solution RD Gateway est de cloisonner les flux internes nécessaires au fonctionnement des Remote Desktop Services et de ne présenter que des interfaces HTTPS et DTLS sur Internet.

Le 14 janvier, Microsoft a émis deux avis de sécurité concernant deux vulnérabilités qui permettent une exécution de code à distance sans authentification préalable.

Qu'elle soit exposée sur Internet ou bien située sur une interconnexion du système d'information, une telle passerelle est de par sa fonction exposée. Elle constitue un élément critique de l'architecture d'un réseau et toute vulnérabilité doit donc être corrigée dans les plus brefs délais.

Solution
L'ANSSI recommande d'appliquer les correctifs mis à disposition par Microsoft dans le cadre de son programme Patch Tuesday (en date du 14 janvier) sans délai.

Dans l'éventualité où ces correctifs ne sont pas applicables rapidement, l'ANSSI suggère de désactiver le transport UDP pour le service Remote Desktop Gateway. Par ailleurs, ce mode de transport est voué à améliorer l'expérience utilisateur en cas d'utilisation d'un réseau de faible capacité, par conséquent, si le besoin n'est pas avéré, il est fortement recommandé de désactiver définitivement ce mode de transport.

La désactivation du transport UDP s'applique en passant par les propriétés du serveur RD Gateway :

Dans l'onglet « Transport Parameters », « UDP transport parameters », décocher la case « enable UDP transport »
Dans l'onglet « SSL bridging », décocher « utiliser le SSL bridging », décocher la case « HTTPS-HTTP bridging »

Documentation
Avis CERT-FR CERTFR-2020-AVI-026 du 14 janvier 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-026/

Avis de sécurité Microsoft du 14 janvier 2020
https://portal.msrc.microsoft.com/fr-FR ... y-guidance

Note de publication Microsoft du 14 janvier 2020
https://portal.msrc.microsoft.com/fr-fr ... l/2020-Jan

Référence CVE CVE-2020-0609
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-0609

Référence CVE CVE-2020-0610
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-0610
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27027
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Multiples vuln serveur pass RDP Windows (14.01.

Messagede pierre » 20 Fév 2020, 21:40

19.02.2020 - Clôture de l'alerte

Note : la clôture de l'alerte ne signifie pas qu'elle n'existe plus. Si vous êtes utilisateur de ce produit, la menace n'existe plus que si vous avez appliqué les solutions permettant de se prémunir contre la/les vulnérabilité(s) en question.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27027
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 13 invités