Microsoft prévient qu'un bogue Windows verable pourrait conduire à un autre WannaCry

Microsoft prévient qu'Internet pourrait voir un autre exploit de la taille de l'attaque WannaCry qui a arrêté des ordinateurs du monde entier il y a deux ans, à moins que des personnes corrigent une vulnérabilité très grave. Le fabricant de logiciels a pris la décision inhabituelle de relayer le correctif pour Windows 2003 et XP, qui vient d’être publié, qui n’est plus pris en charge depuis quatre et cinq ans, respectivement.

«Cette vulnérabilité est une pré-authentification et ne nécessite aucune interaction de l'utilisateur», a écrit Simon Pope, directeur de la réponse aux incidents du centre de sécurité Microsoft, dans un article publié qui coïncidait avec la publication de la mise à jour mardi de la société, May Update. "En d'autres termes, la vulnérabilité est" vermiculaire ", ce qui signifie que tout futur logiciel malveillant exploitant cette vulnérabilité pourrait se propager d'un ordinateur vulnérable à un ordinateur vulnérable de la même manière que le programme malveillant WannaCry répandu dans le monde entier en 2017. Nous n'avons observé aucune exploitation de cette vulnérabilité, il est très probable que des acteurs malveillants écrivent un exploit pour cette vulnérabilité et l’incorporent dans leurs programmes malveillants. ”

Comme si une vulnérabilité d'exécution de code auto-répliquée et auto-répliquée n'était pas assez sérieuse, CVE-2019-0708, car la faille dans les services de bureau à distance Windows est indexée, nécessite une complexité réduite à exploiter. Le calculateur de système de notation commun de vulnérabilité de Microsoft évalue cette complexité à 3,9 sur 10. (Pour être clair, les développeurs de WannaCry possédaient un puissant code d'exploitation rédigé par la National Security Agency, puis volé à cette dernière, afin d'exploiter le wormable CVE-2017-0144 et CVE-2017-0145, où la complexité des exploitations était qualifiée de "élevée"). Cependant, développer un code d’exploitation fiable pour cette dernière vulnérabilité Windows nécessitera relativement peu de travail.

"L'exploitation de la vulnérabilité, décrite dans l'avis, nécessiterait simplement que quelqu'un envoie des paquets spécifiques sur le réseau à un système vulnérable disposant du service RDP", a déclaré Brian Bartholomew, chercheur en sécurité dans l'équipe mondiale d'analyse et de recherche de Kaspersky Lab. , dit Ars dans un email. «Dans le passé, les exploits pour ce service étaient assez faciles à concevoir une fois le correctif inversé. Ma meilleure hypothèse est que quelqu'un publiera un exploit pour cela dans les prochains jours. ”

Bartholomew a déclaré que les pare-feux de réseau et autres défenses bloquant le service RDP empêcheraient efficacement l'attaque de se produire. Mais comme le monde l’a appris lors des attaques de WannaCry, ces mesures ne parviennent souvent pas à contenir des dommages pouvant coûter collectivement des milliards de dollars.

Le chercheur indépendant Kevin Beaumont, citant des requêtes sur le moteur de recherche Shodan des ordinateurs connectés à Internet, a déclaré ici qu'environ 3 millions de terminaux RDP étaient directement exposés.

Update Mise à jour de sécurité très importante pour Windows 🚨 CVE-2018-0708 permet l'exécution de code à distance, non authentifié, est RDP (Remote Desktop). Une très mauvaise chose contre laquelle vous devriez patcher. Environ 3 millions de terminaux RDP sont directement exposés à Internet. //t.co/EAdg3VNMjw pic.twitter.com/u2V3uyoyVs

- Kevin Beaumont 🧝🏽‍♀️ (@GossiTheDog) 14 mai 2019

Tod Beardsley, directeur de la recherche à la firme de sécurité Rapid7, a déclaré qu'un autre scanner Internet, BinaryEdge, indique qu'il y aurait environ 16 millions de terminaux exposés à Internet sur les ports TCP 3389 et 3388, généralement réservés à RDP.

"Un RCE de pré-authentification dans RDP est une très grosse affaire", a écrit Beardsley dans un courrier électronique. "Bien que nous donnions souvent le conseil de ne pas exposer RDP à Internet, beaucoup le font toujours (généralement par accident). Une grande partie du trafic d'attaque que nous voyons contre RDP semble être dirigée spécifiquement vers les systèmes de point de vente, alors je On s’attend à ce qu’il y ait un nombre non négligeable de caisses enregistreuses en panne avec RDP exposées à Internet. "

Une autre société de sécurité, CyberX, a analysé le trafic de 850 systèmes de technologie opérationnelle, utilisés pour gérer les lignes de production en usine, la surveillance du gaz et d’autres types d’activités industrielles. Les chercheurs ont découvert que 53% d’entre eux exécutent des versions non prises en charge de Windows, dont beaucoup sont probablement affectées par la vulnérabilité récemment appliquée. L'absence de mise à niveau provient de la difficulté de mettre les ordinateurs hors ligne dans des environnements critiques fonctionnant en permanence. Phil Neray, vice-président de la cybersécurité industrielle à CyberX, basée à Boston, a déclaré qu'une mesure visant à réduire l'écart entre ces entreprises mettait en place des contrôles compensatoires, tels que la segmentation du réseau et la surveillance continue du réseau.

Quelles versions sont vulnérables?

Outre Windows 2003 et XP, CVE-2019-0708 affecte également Windows 7, Windows Server 2008 R2 et Windows Server 2008. Pour preuve de l'amélioration constante de la sécurité de Microsoft, les versions ultérieures de Windows ne sont pas en danger.

«Les clients exécutant Windows 8 et Windows 10 ne sont pas concernés par cette vulnérabilité, et ce n'est pas un hasard si les versions ultérieures de Windows ne sont pas affectées», a écrit Pope. "Microsoft investit énormément dans le renforcement de la sécurité de ses produits, souvent par le biais d'améliorations architecturales majeures qu'il n'est pas possible de transférer aux versions antérieures de Windows."

Le sous-texte est que, même si toute personne utilisant encore une version vulnérable de Windows devrait appliquer un correctif immédiatement, la solution à long terme la plus intelligente consiste à effectuer une mise à niveau vers Windows 8 ou 10 dans un avenir proche.

Microsoft a crédité le National Cyber ​​Security Center du Royaume-Uni pour avoir signalé la vulnérabilité en privé. Tandis que Microsoft a déclaré ne pas avoir observé d'exploits dans la nature, il reste difficile de déterminer avec précision une vulnérabilité aussi ancienne et aussi grave.

«Cela fait demander, comment l'ont-ils trouvé en premier lieu?» A déclaré Bartholomew de Kaspersky Lab. «Ont-ils vu cela lors d'attaques ailleurs? S'agissait-il d'un vieil exploit qui avait été utilisé par des gouvernements amis dans le passé et qui fonctionne maintenant? Cet exploit a-t-il été divulgué d'une manière ou d'une autre et est-il proactif? Bien sûr, nous ne connaîtrons probablement jamais la vraie réponse, et honnêtement, ce n’est que spéculation pour l’instant, mais il y a peut-être quelque chose ici sur lequel creuser.

Poster mis à jour pour ajouter des commentaires de Beardsley de Rapid7.