CVE-2019-0708
CLOSED
KEV
CVSS 9.300000190734863 CRITICAL
<strong>\[Mise à jour du 22 mai 2019 : Informations complémentaires et
situation\]</strong>
<strong>\[Mise à jour du 23 mai 2019 : Informations sur la publication d'un
correctif pour Windows Vista\]</strong>
Le 14 mai 2019, lors de sa mise à jour mensuelle, Microsoft a publié un
correctif pour une vulnérabilité identifiée comme CVE-2019-0708 \[1\].
Cette vulnérabilité impacte les services de bureau à distance (*Remote
Desktop Services*, RDS), basé sur le protocole de bureau à distance
(*Remote Desktop Protocol*, RDP) et régulièrement utilisé dans le cadre
de l'administration à distance. Cette vulnérabilité permet l'exécution
de code arbitraire sur un système vulnérable, et ce sans
authentification ni interaction d'un utilisateur.
De par le risque particulièrement important qui découlerait d'une
exploitation de cette faille, elle a fait l'objet d'un traitement
spécifique de la part de l'éditeur. En effet, en plus des correctifs
pour les systèmes actuellement maintenus par Microsoft, des mises à
jours exceptionnelles ont également été rendues disponibles pour
certains des anciens systèmes n'étant plus pris en charge. Cela comprend
les systèmes Windows 2003 ainsi que Windows XP.
Le 23 mai 2019, Microsoft a rendu disponible un correctif pour le
système Windows Vista \[4\].
De plus, une publication de l'éditeur alertant sur le caractère
singulier de cette faille et mettant en garde contre un risque d'attaque
par un ver informatique exploitant la CVE-2019-0708 a été mise en ligne
sur le blog de Microsoft \[2\].
À la date du 22 mai 2019, aucun code d’exploitation public n’est
disponible. Cependant, plusieurs sources fiables sur Internet se font
l'écho de l’existence de tels codes, rendant alors crédible le risque de
divulgation des détails techniques et l’exploitation automatisée qui
pourrait suivre.
Une proposition de règle de détection s'appuyant sur certaines
caractéristiques de la vulnérabilité a été rendue publique par NCC Group
\[3\]. Il est ainsi possible dans certains cas de détecter une tentative
d'exploitation. Cependant, dans le cas général les communications
passent par un canal chiffré ce qui empêche les détections au niveau du
réseau.
### NLA (*Network Level Authentication*)
Pour éviter l’exploitation en pré-authentification, il est possible
d'utiliser la fonctionnalité NLA qui force une authentification du
client lors de l’initialisation de la connexion RDP.
La fonctionnalité NLA est implémentée depuis Windows Vista et Windows
Server 2008 mais n’est pas forcément imposée par la configuration du
service RDS. Il n’existe pas de configuration par défaut relative à
l’activation de cette fonctionnalité et l’administrateur définit ces
paramètres lors de l’installation.
### Recommandations
Le CERT-FR recommande en premier lieu l'application des correctifs
disponibles dans les plus brefs délais.
Les systèmes vulnérables doivent être identifiés et les mesures
suivantes doivent être appliquées au plus vite :
<table>
<colgroup>
<col style="width: 50%" />
<col style="width: 50%" />
</colgroup>
<tbody>
<tr class="header">
<th>Systèmes d'exploitation</th>
<th style="text-align: center;">Mesures</th>
</tr>
<tr class="odd">
<td>Windows 7<br />
Windows Server 2008</td>
<td style="text-align: center;">En fonction de la configuration de NLA,
les machines sont vulnérables en pré-authentification ou en post
authentification. Pour que la vulnérabilité ne soit pas exploitable en
pré-authentification, NLA doit être activé (cf. section
<strong>Contournement provisoire</strong>)<br />
Le CERT-FR recommande donc de déployer, par GPO si applicable,
l’activation de NLA pour le service RDS.<br />
Quelle que soit la configuration, les correctifs doivent être appliqués
sur ces systèmes.<br />
Il est rappelé que la fin du support de ces systèmes d’exploitation
étant proche (14 janvier 2020), il est nécessaire de migrer vers des
versions supportées.</td>
</tr>
<tr class="even">
<td>Windows Vista</td>
<td style="text-align: center;">Ce système n'est plus supporté par
l’éditeur. L'utilisation de la fonctionnalité NLA permet d'éviter
l'exploitation de la vulnérabilité en pré-authentification et peut être
utilisé comme solution de contournement provisoire.<br />
Bien qu'un correctif soit disponible pour cette version de Windows, la
mise à niveau vers des systèmes soutenus par l’éditeur doit être
réalisée en urgence.</td>
</tr>
<tr class="odd">
<td>Windows XP<br />
Windows Server<br />
2003</td>
<td style="text-align: center;">Ces systèmes ne sont plus supportés par
l’éditeur et aucun mécanisme de défense en profondeur n’est disponible
pour réduire la gravité de cette vulnérabilité.<br />
Aucune machine avec ces versions de Windows ne doit être connectée à
Internet ou à un réseau local ni administrée par ce vecteur.<br />
Bien que des correctifs soient disponibles pour ces versions de Windows,
le remplacement vers des systèmes soutenus par l’éditeur doit être
réalisé en urgence.</td>
</tr>
</tbody>
</table>
EPSS 94.45% · 100.0th percentile
