⚠️ Cet article concerne la faille de sécurité Windows : « Microsoft Remote Desktop Services » datant du 14 Mai 2019, @ BlueKeep .

Microsoft a diffusé des correctifs pour une vulnérabilité critique des services Bureau à distance, appelée BlueKeep . Un auteur distant non authentifié qui parviendrait à exploiter cette vulnérabilité serait en mesure d’exécuter du code arbitraire sur certains systèmes d’exploitation Microsoft utilisant les services Bureau à distance. Il s’agit d’une vulnérabilité aux vers, c’est-à-dire que les exploits de cette vulnérabilité pourraient automatiquement se propager d’un système vulnérable à un autre. Pour exploiter cette faille de sécurité Windows BlueKeep (CVE-2019-0708), un attaquant devrait envoyer une demande spécialement conçue aux services Bureau à distance du système cible au moyen du protocole RDP.

Voici la liste des systèmes d’exploitation (OS) vulnérables :

  • Windows 7 pour systèmes 32 bits, Service Pack 1
  • Windows 7 pour systèmes à processeur x64, Service Pack 1
  • Windows Server 2008 pour systèmes 32 bits, Service Pack 2
  • Windows Server 2008 pour systèmes à processeur Itanium, Service Pack 2
  • Windows Server 2008 pour systèmes à processeur 64x, Service Pack 2
  • Windows Server 2008 pour systèmes à processeur 64x, Service Pack 2 (installation minimale)
  • Windows Server 2008 R2 pour systèmes à processeur Itanium, Service Pack 1
  • Windows Server 2008 R2 pour systèmes à processeur 64x, Service Pack 1
  • Windows Server 2008 R2 pour systèmes à processeur 64x, Service Pack 1 (installation minimale)
  • Windows XP SP3 x86
  • Windows XP Professional Édition x64 SP2
  • Windows XP Embedded SP3 x86
  • Windows Server 2003 SP2 x86
  • Windows Server 2003 Édition x64 SP2

Cette faille de sécurité a un impact critique, veuillez appliquez les nouveaux correctifs :

Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

⚠️ Solutions de contournement (temporaire)

Microsoft vous recommande vivement d’installer les mises à jour pour cette vulnérabilité dans les plus brefs délais, même si vous envisagez de laisser ces solutions de contournement en place :

Activez l’authentification au niveau du réseau (NLA) sur les systèmes qui exécutent les éditions prises en charge de Windows 7, Windows Server 2008 et Windows Server 2008 R2

Vous pouvez activer l’authentification au niveau du réseau pour empêcher les attaquants non authentifiés d’exploiter cette vulnérabilité. Lorsque l’authentification NLA est activée, un attaquant devrait d’abord s’authentifier sur les services Bureau à distance à l’aide d’un compte valide sur le système cible avant de pouvoir exploiter cette vulnérabilité.

Bloquez le port TCP 3389 sur le pare-feu de périmètre d’entreprise

Le port TCP 3389 sert à établir une connexion au composant concerné. Le blocage de ce port sur le pare-feu de périmètre du réseau assure la protection des systèmes situés derrière ce pare-feu contre les tentatives d’exploitation de cette vulnérabilité. Les réseaux sont ainsi protégés contre les attaques déclenchées en dehors du périmètre d’entreprise. Le blocage des ports concernés sur le périmètre d’entreprise est la meilleure défense possible pour éviter les attaques par Internet. Les systèmes peuvent toutefois rester vulnérables aux attaques déclenchées dans le périmètre d’entreprise.