Services d’accès distant, certificats numériques : deux failles critiques à corriger

La rumeur courait déjà, bien avant l’annonce officielle : le lot de rustines de janvier de Microsoft pour Windows allait contenir un correctif pour une vulnérabilité liée à la manière dont le système d’exploitation valide certains certificats de chiffrement.

Comme l’explique l’éditeur dans sa note d’information, « un attaquant pourrait exploiter la vulnérabilité en signant un exécutable malveillant à l’aide d’un certificat de signature de code falsifié. Le fichier semblerait alors provenir d’une source légitime et approuvée. L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d’un fournisseur approuvé ».

Certes, les cyberdélinquants ne manquent pas de signer leurs fichiers malveillants, souvent avec des certificats légitimes octroyés à des entreprises au profil douteux, bien plus rarement avec des certificats dérobés.

La vulnérabilité considérée, référencée CVE-2020-0601, affecte Windows 10, Windows Server 2016, et Windows Server 2019. Un scénario d’exploitation possible consiste à prendre le contrôle du serveur WSUS d’une entreprise pour pousser dans le parc considéré une mise à jour auto-signée, mais utilisant une chaîne d’autorités de certification valide : toutes les machines visées la considèreraient comme légitime. La vulnérabilité pourrait également être utilisée pour des connexions HTTPS, des e-mails, et tout type de fichier signé numérique. Comme le résume Tavis Ormandy, chercheur en sécurité chez Google, « toute la validation X.509 est cassée ».

Pour certains, la NSA s’offre avec cette communication une jolie campagne de communication, et même de quoi redorer son blason « après le désastre d’Eternal Blue ». Mais cela n’enlève rien à la gravité de la vulnérabilité, même s’il n’est pas possible de l’utiliser pour créer des vers : « les impacts les plus graves concernent les infrastructures industrielles et sociétales établies. Les communications bancaires, le contrôle d’infrastructures, l’industrie lourde. C’est une menace très différente de celle dont le public a l'habitude d'entendre parler ou de ce que les consommateurs d'actualités peuvent comprendre en termes de réelles ramifications. », relève ainsi SwiftOnSecurity sur Twitter.
En somme, pour cet expert, si cette vulnérabilité pourrait trouver son utilité dans l’arsenal de la NSA, « c’est une menace systémique bien plus grande encore pour les Etats-Unis ». Outre-Atlantique, les administrations ont d’ailleurs 10 jours pour appliquer le correctif fourni par Microsoft.

Et ce n’est pas le seul d’ailleurs que pousse avec insistance le ministère américain de l’Intérieur : il y a aussi ceux concernant des vulnérabilités affectant le client Windows Remote Desktop, et RDP Gateway Server (pour Windows Server 2012, 2016 et 2019). Ces vulnérabilités ouvrent la voie à l’exécution de code arbitraire à distance sans authentification.

Dans son alerte, le Cert-FR souligne la gravité de la vulnérabilité affectant RDP Gateway Server : « qu’elle soit exposée sur Internet ou bien située sur une interconnexion du système d’information, une telle passerelle est de par sa fonction exposée. Elle constitue un élément critique de l’architecture d’un réseau et toute vulnérabilité doit donc être corrigée dans les plus brefs délais ».