Le correctif Patch Tuesday de Microsoft publié récemment a apporté de très mauvaises nouvelles : davantage de vulnérabilités RDP de type worm (ver), affectant cette fois-ci les utilisateurs de Windows 10.
CVE-2019-1181 et -1182 sont des vulnérabilités critiques dans Remote Desktop Services (anciennement Windows terminal) qui sont de type ver (worm), similaires à la vulnérabilité BlueKeeppour laquelle des exploits ont déjà été créés. De type ver (worm) signifie que l’exploit pourrait, en théorie, être utilisé non seulement pour pénétrer dans un ordinateur, mais également pour se propager à partir de ce dernier.
Ces nouvelles vulnérabilités, que Microsoft a découvert alors qu’il renforçait le RDS, peuvent être exploitées sans intervention de l’utilisateur en envoyant un message RDP (Remote Desktop Protocol) spécialement conçu à RDS. Une fois à l’intérieur, un attaquant pourrait installer des programmes, modifier ou supprimer des données, créer de nouveaux comptes avec tous les droits, et bien plus encore. CVE-2019-1222 et -1226 désignent également ces failles.
Contrairement à BlueKeep, ces nouvelles vulnérabilités RDP affectent Windows 10, y compris les versions pour serveur, ainsi que Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1 et Windows Server 2012 R2.
Microsoft a déclaré que ces vulnérabilités n’avaient pas encore été exploitées sur le terrain, mais a fortement incité ses clients à prendre une longueur d’avance en corrigeant rapidement les problèmes :
Il est important que les systèmes affectés soient patchés le plus rapidement possible en raison des risques élevés associés aux vulnérabilités de type worm comme celles-ci. Vous trouverez les téléchargements appropriés dans le Guide des Mises à Jour de Sécurité de Microsoft.
Des bugs étaient également présents dans Microsoft Office. Une faille (CVE-2019-1199-1200) dans la façon dont Outlook traite les objets en mémoire aurait permis à un attaquant d’exécuter du code à distance en utilisant un fichier malveillant envoyé par courrier électronique ou par un site web. Le volet de visualisation d’Outlook constitue un vecteur d’attaque, tout comme un autre bug présent dans Microsoft Word (CVE-2019-1201 et -1205) qui aurait permis l’exécution de code à distance à partir de documents Word conçus de manière malveillante.
En conclusion, Patchez avant d’être attaqué.
source: http://www.sophos.com