Vulnérabilité RDP : près d’un million de machines concernées exposées sur Internet

Bluekeep, c’est le petit nom dont s’est vue affubler la vulnérabilité CVE-2019-0708 dévoilée mi-mai. Celle-ci affecte les services de déport d’affichage (RDP) : elle permet à un attaquant de forcer l’exécution de code à distance en envoyant à sa cible des requêtes RDP spécifiques ; son exploitation se passe d’authentification et d’interaction manuelle de la part d’un utilisateur local.

En l’exploitant, un assaillant pourrait donc, comme l’expliquait alors Microsoft, « installer des programmes ; consulter, modifier ou effacer des données ; ou créer de nouveaux comptes avec des droits utilisateur complets ». Devant la criticité de Bluekeep, l’éditeur a publié plusieurs correctifs, dont cinq pour Windows XP SP2/SP3 et Windows Server 2003 SP2. Lors de la révélation de la vulnérabilité, le moteur de recherche spécialisé Onyphe recensait plus de deux millions services RDP exposés sur Internet. 

Robert Graham, d’Errata Security, a procédé à une recherche active d’hôtes concernés en s’appuyant sur le projet Masscan. Il a ainsi trouvé plus de 3,3 millions de services RDP exposés en ligne. Parmi ceux-ci, il a voulu savoir combien étaient encore affectés par la vulnérabilité Bluekeep, en interrogeant les adresses concernées avec rdpscan. Le résultat est édifiant : environ 950 000 services RDP vulnérables s’avèrent exposés sur Internet.

Pour les hôtes exposant ces services, il y a désormais urgence. Greynoise Intelligence assure observer des opérations de recherche de systèmes affectés par Bluekeep sur Internet. Si un seul acteur serait impliqué dans ces observations, Robert Graham estime qu’il ne s’agit pas de lui lors de son opération de recensement.

More than 2,000,000 Windows RDP services exposed for the last 30 days #CVE-2019-0708 #WannaCry2: pic.twitter.com/phPAcE4wbg

— ONYPHE (@onyphe) May 15, 2019

Surtout, les travaux avancent pour exploiter la vulnérabilité. De faux démonstrateurs ont été présentés rapidement après la divulgation de Bluekeep, mais désormais, des démonstrateurs fonctionnels d’attaques en déni de service ont été mis au point par des chercheurs de McAfee, Zerodium ou encore Kaspersky. Qihoo 360 disposerait également d’un tel démonstrateur, ainsi que Check Point, qui s’en sert pour montrer comment Sandblast Agent bloque l’exploitation de la vulnérabilité. Ce n'est pas le seul, toutefois, à avancer une protection - il faut aussi compter avec McAfee, ou encore 0patch, même si l'efficacité des protections fait débat, suivant la méthode retenue. 

A ce stade, aucun code démonstrateur n’a été diffusé publiquement, mais il y a donc fort à parier que d’autres acteurs, moins bienveillants, disposent également de code d’exploitation de Bluekeep, ou du moins travaillent activement à son développement.