icetray - Fotolia

Vulnérabilité RDP : près d’un million de machines concernées exposées sur Internet

Deux semaines après la révélation d’une vulnérabilité qui a poussé Microsoft à distribuer des mises à jour exceptionnelles pour Windows XP et Server 2003, la menace d’une exploitation grandit.

Bluekeep, c’est le petit nom dont s’est vue affubler la vulnérabilité CVE-2019-0708 dévoilée mi-mai. Celle-ci affecte les services de déport d’affichage (RDP) : elle permet à un attaquant de forcer l’exécution de code à distance en envoyant à sa cible des requêtes RDP spécifiques ; son exploitation se passe d’authentification et d’interaction manuelle de la part d’un utilisateur local.

En l’exploitant, un assaillant pourrait donc, comme l’expliquait alors Microsoft, « installer des programmes ; consulter, modifier ou effacer des données ; ou créer de nouveaux comptes avec des droits utilisateur complets ». Devant la criticité de Bluekeep, l’éditeur a publié plusieurs correctifs, dont cinq pour Windows XP SP2/SP3 et Windows Server 2003 SP2.

Lors de la révélation de la vulnérabilité, les moteurs de recherche spécialisés Shodan et Onyphe recensaient plus de 50 000 services RDP exposés sur Internet. Mais cela pourrait bien n’être que la partie émergée de l’iceberg.

Robert Graham, d’Errata Security, a procédé à une recherche active d’hôtes concernés en s’appuyant sur le projet Masscan. Il a ainsi trouvé plus de 3,3 millions de services RDP exposés en ligne. Parmi ceux-ci, il a voulu savoir combien étaient encore affectés par la vulnérabilité Bluekeep, en interrogeant les adresses concernées avec rdpscan. Le résultat est édifiant : environ 950 000 services RDP vulnérables s’avèrent exposés sur Internet.

Pour les hôtes exposant ces services, il y a désormais urgence. Greynoise Intelligence assure observer des opérations de recherche de systèmes affectés par Bluekeep sur Internet. Si un seul acteur serait impliqué dans ces observations, Robert Graham estime qu’il ne s’agit pas de lui lors de son opération de recensement.

Surtout, les travaux avancent pour exploiter la vulnérabilité. De faux démonstrateurs ont été présentés rapidement après la divulgation de Bluekeep, mais désormais, des démonstrateurs fonctionnels d’attaques en déni de service ont été mis au point par des chercheurs de McAfee, Zerodium ou encore Kaspersky. Qihoo 360 disposerait également d’un tel démonstrateur, ainsi que Check Point, qui s’en sert pour montrer comment Sandblast Agent bloque l’exploitation de la vulnérabilité. Ce n'est pas le seul, toutefois, à avancer une protection - il faut aussi compter avec McAfee, ou encore 0patch, même si l'efficacité des protections fait débat, suivant la méthode retenue

A ce stade, aucun code démonstrateur n’a été diffusé publiquement, mais il y a donc fort à parier que d’autres acteurs, moins bienveillants, disposent également de code d’exploitation de Bluekeep, ou du moins travaillent activement à son développement.

Approfondir

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close