Vulnérabilité Bluekeep : plus de 800 000 systèmes encore non corrigés

Selon BitSight Technologies, il y avait encore, au 2 juillet, 805 665 systèmes affectés par Bluekeep et exposés en ligne, soit environ 17 % de moins qu’au 31 mai. Pour mémoire, Microsoft propose des correctifs pour cette vulnérabilité, référencée CVE-2019-0708, depuis la mi-mai, y compris pour Windows XP et Windows Server 2003. L’éditeur prend le sujet tellement au sérieux qu’il lancé une nouvelle fois l’alerte début juin, faisant même un parallèle avec Eternalblue, rappelant qu’il ne s’était écoulé que deux mois entre la publication des correctifs et l’épisode WannaCry.

Il faut dire que l’exploitation de Bluekeep peut avoir une portée considérable : la vulnérabilité permet d’exécuter à distance du code arbitraire sur des systèmes vulnérables et peut être utilisée dans le cadre d’un maliciel de type ver. Sophos a récemment présenté, dans une vidéo, le démonstrateur que ses équipes ont développé en interne.

De son côté, SecurityScorecard estime que les correctifs disponibles sont appliqués à environ 8 000 systèmes affectés par jour, en moyenne. Mais il rappelle que les services RDP ne devraient pas être directement exposés sur Internet. Et là, la marge de progression apparaît encore très importante.

Patrice Auffret, fondateur du moteur de recherche spécialisé Onyphe, indique avoir observé, au cours des 30 derniers jours, 3,4 millions d’adresses IP exposant un service RDP, dont 1,9 million de systèmes Windows. Impossible de dire toutefois, sur cette seule base combien sont affectés par Bluekeep : « nous nous refusons à vérifier si un système exposé est vulnérable ou pas, parce que nous estimons qu’il y a toujours un risque de faire tomber la machine concernée, et nous ne voulons pas prendre ce risque avec des machines qui ne nous appartiennent pas ». Mais ces chiffres n’en sont pas moins préoccupants.

Patrice Auffret le relève ainsi : « une entreprise appliquant les pratiques de référence en sécurité n’expose pas de service RDP directement sur Internet ». Et au-delà de Bluekeep, la menace est réelle. Début juin, les chercheurs de Morphus Labs ont ainsi levé le voile sur Goldbrute, un botnet qui vise spécifiquement les services RDP, à partir d’une liste de plus de 1,5 million d’adresses IP – qu’il met à jour en continu –, cherchant à s’authentifier auprès d’eux en force brute.