Vulnérabilité RDP : Microsoft relance l’alerte

L’inquiétude est bien là, chez Microsoft. Dans un billet de blog, Simon Pope, directeur de la réponse à incident au sein du centre de réponse de sécurité de l’éditeur, s’est senti obligé de marteler le message : « nous recommandons fortement de mettre à jour aussitôt que possible tous les systèmes affectés » par la vulnérabilité CVE-2019-0708, aussi dite Bluekeep.

Prenant celle-ci très au sérieux, Microsoft a publié des correctifs mi-mai, y compris pour Windows XP et Windows Server 2003. Simon Pope ne manque d’ailleurs pas de faire un parallèle avec EternalBlue, rappelant qu’il ne s’est écoulé que deux mois entre la publication des correctifs et l’épisode WannaCry.

Il faut dire qu’en l’espace de deux semaines, les indices de l’existence d’exploits fonctionnels pour Bluekeep se sont multipliés. Et que le nombre de machines exposées sur Internet reste impressionnant, sans compter tous les hôtes vulnérables susceptibles d’être présents dans les systèmes d’information sans être directement accessibles en ligne. Accessoirement, le professionnel de la sécurité français se faisant appeler Swithak a consolidé, sur Github, un long recueil de recommandations sur la manière de traiter la vulnérabilité Bluekeep d’un point de vue défensif.

Et l’application des correctifs apparaît aujourd’hui d’autant plus urgente que des chercheurs viennent de lever le voile sur une autre vulnérabilité, affectant une fonctionnalité présentée jusqu’ici comme un moyen de réduction de la surface d’attaque pour des hôtes exposant leur service RDP.

Référencée CVE-2019-9510, cette vulnérabilité permet de contourner l’écran de verrouillage de sessions accessibles à distance lorsque l’authentification est déportée du protocole RDP vers le réseau (NLA, ou Network Level Authentication). Le risque apparaît toutefois plus limité : seuls Windows 10 1803 et plus, et Windows Server 2019, sont affectés et l’exploitation de la vulnérabilité nécessite un accès physique à la machine affectée.

How to assure Network Level Authentication is on, without Group Policy.

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Value: UserAuthentication
Data: 1

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\
Value: UserAuthentication
Data: 1

— SwiftOnSecurity (@SwiftOnSecurity) May 24, 2019

Du coup, l’activation de NLA s’avère utile pour bloquer l’exploitation de Bluekeep en exigeant une authentification préalable, comme l’explique l’administrateur système SwiftOnSecurity. Seule chose, pour le Cert de l’université Carnegie Mellon, pour profiter pleinement de ses apports, il convient de déconnecter les sessions RDP plutôt que de simplement les verrouiller.