Olivier Le Moal - stock.adobe.co
Une grave vulnérabilité affecte le service RPC de Windows
Récemment découverte, cette vulnérabilité référencée CVE-2022-26809 ouvre la voie à des attaques à distance, avec un potentiel de permettre à des vers de se répandre.
Une grave vulnérabilité récemment rendue publique affectant un composant réseau de Windows incite les experts à s'alarmer d'une possible vague d'attaques avec prise de contrôle à distance.
Désignée sous la référence CVE-2022-26809, la vulnérabilité décrit une erreur de dépassement d'entier dans le service réseau RPC (Remote Procedure Call) du système d’exploitation de Microsoft. Un attaquant pourrait utiliser un appel RPC spécialement conçu pour réaliser une exécution de code arbitraire sur un hôte cible.
Une attaque réussie permettrait à l'attaquant d'obtenir une prise de contrôle à distance complète de la machine vulnérable et de prendre pied pour une infiltration plus étendue du système d’information concerné.
Microsoft a publié une mise à jour pour corriger cette vulnérabilité, à l’occasion de son train mensuel de correctifs du 12 avril. Les experts en sécurité ont conseillé aux utilisateurs et aux administrateurs de mettre en place les correctifs dès que possible. Il est possible de réduire la surface d’attaque en bloquant les ports TCP 135 et 445 sur les systèmes exposés sur Internet. Mais cela ne protège pas d’une exploitation de la vulnérabilité depuis l’intérieur du réseau.
Dans un billet de blog publié mercredi, Ben Barnea et Ophir Harpaz, chercheurs en sécurité chez Akamai Technologies, relèvent que les attaquants ne manquent pas de cibles potentielles pour le moment : « toute machine Windows dont le port 445 est exposé et dont la bibliothèque d'exécution RPC n'est pas patchée est vulnérable ». Et selon les données du moteur de recherche spécialisé Shodan, « plus de 700 000 machines Windows exposent ce port à Internet. Selon Microsoft, les serveurs qui écoutent sur ce port TCP sont potentiellement vulnérables ».
Pour Dustin Childs, responsable de la communication de l'initiative Zero Day de Trend Micro, il existe un réel danger que la vulnérabilité Windows RPC soit utilisé comme arme pour des attaques automatisées de logiciels malveillants, comme un ver : « étant donné qu'aucune interaction avec l'utilisateur n'est requise, ces facteurs se combinent pour permettre des attaques de vers, du moins entre les machines où le service RPC peut être atteint ».
Et si « le port statique utilisé ici (port TCP 135) est généralement bloqué au niveau du périmètre du réseau », la vulnérabilité « pourrait être utilisé par un attaquant pour un déplacement latéral. Il faut absolument le tester et le déployer rapidement ».