CERTFR-2019-ALE-012
Vulnerability from certfr_alerte

Le 13 août 2019, lors de la publication mensuelle de ses correctifs, Microsoft a corrigé plusieurs vulnérabilités affectant les services de bureau à distance (Remote Desktop Services, RDS). Parmi les failles corrigées, quatre d'entre elles, critiques, permettent une exécution de code arbitraire à distance. Selon l'éditeur, elles touchent les systèmes Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 ainsi que toutes les versions supportées de Windows 10, cela incluant les versions serveur.

Ces vulnérabilités identifiées comme CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 et CVE-2019-1226 peuvent être exploitées sans authentification et sont considérées comme étant d'une criticité similaire à la faille CVE-2019-0708 [1] corrigée au mois de mai par l'éditeur.

En accompagnement du bulletin mensuel sur les correctifs de sécurité, Microsoft a également publié un article de blogue [2] revenant sur deux de ces failles, les CVE-2019-1181 et CVE-2019-1182. Celui-ci incite les utilisateurs à mettre à jour leurs systèmes dans les plus brefs délais et met en garde contre le risque d'utilisation de ce type de vulnérabilité dans des attaques à propagation de type "ver informatique".

[Mise à jour 14 août 2019]

Microsoft a bloqué la mise à jour d'août 2019 pour les utilisateurs de produits Symantec et Norton [3][4]. En effet, l'algorithme SHA-2 pour la signature du certificat n'est pas supporté par ces produits, ceux-ci ne peuvent donc pas vérifier la mise à jour.

Microsoft déconseille de forcer l'installation. Aucune solution n'est disponible pour l'instant.

Solution

Le CERT-FR recommande l'application des correctifs disponibles dans les plus brefs délais. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Contournement provisoire

Un contournement partiel existe lorsque le protocole Network Level Authentication (NLA) est activé. Cette fonctionnalité de sécurité force l'authentification du client lors de l’initialisation d'une connexion avec le service RDS. Cela a pour conséquence d'empêcher l'exploitation de ces failles en pré-authentification. Malgré son utilisation, les machines demeurent vulnérables à une exécution de code arbitraire à distance.

None
Impacted products
Vendor Product Description
Microsoft Windows Windows Server 2012
Microsoft Windows Windows Server 2019
Microsoft Windows Windows Server 2012 R2
Microsoft Windows Windows Server 2008 R2
Microsoft Windows Windows 10
Microsoft Windows Windows RT 8.1
Microsoft Windows Windows Server 2016
Microsoft Windows Windows 7 SP1
Microsoft Windows Windows Server 2008 R2 SP1
Microsoft Windows Windows 8.1

Show details on source website


{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows Server 2012",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2019",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2012 R2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 R2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows RT 8.1",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2016",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 7 SP1",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 R2 SP1",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 8.1",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2019-10-25",
  "content": "## Solution\n\nLe CERT-FR recommande l\u0027application des correctifs disponibles dans les\nplus brefs d\u00e9lais. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour\nl\u0027obtention des correctifs (cf. section Documentation).\n\n## Contournement provisoire\n\nUn contournement partiel existe lorsque le protocole *Network Level\nAuthentication* (NLA) est activ\u00e9. Cette fonctionnalit\u00e9 de s\u00e9curit\u00e9 force\nl\u0027authentification du client lors de l\u2019initialisation d\u0027une connexion\navec le service RDS. Cela a pour cons\u00e9quence d\u0027emp\u00eacher l\u0027exploitation\nde ces failles en pr\u00e9-authentification. Malgr\u00e9 son utilisation, les\nmachines demeurent vuln\u00e9rables \u00e0 une ex\u00e9cution de code arbitraire \u00e0\ndistance.\n",
  "cves": [
    {
      "name": "CVE-2019-1222",
      "url": "https://www.cve.org/CVERecord?id=CVE-2019-1222"
    },
    {
      "name": "CVE-2019-1182",
      "url": "https://www.cve.org/CVERecord?id=CVE-2019-1182"
    },
    {
      "name": "CVE-2019-0708",
      "url": "https://www.cve.org/CVERecord?id=CVE-2019-0708"
    },
    {
      "name": "CVE-2019-1181",
      "url": "https://www.cve.org/CVERecord?id=CVE-2019-1181"
    },
    {
      "name": "CVE-2019-1226",
      "url": "https://www.cve.org/CVERecord?id=CVE-2019-1226"
    }
  ],
  "initial_release_date": "2019-08-14T00:00:00",
  "last_revision_date": "2019-10-25T00:00:00",
  "links": [
    {
      "title": "Communiqu\u00e9 Symantec",
      "url": "https://support.symantec.com/us/en/article.tech255857.html"
    },
    {
      "title": "Publication de blogue de Microsoft sur les vuln\u00e9rabilit\u00e9s CVE-2019-1181 et CVE-2019-1182",
      "url": "https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/"
    },
    {
      "title": "Avis CERT-FR CERTFR-2019-AVI-397",
      "url": "https://cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-397/"
    },
    {
      "title": "Alerte de s\u00e9curit\u00e9 du CERT-FR\u00a0CERTFR-2019-ALE-006 du 15 mai 2019",
      "url": "https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-006/"
    },
    {
      "title": "Publication de blogue de Microsoft l\u0027incompatibilit\u00e9 de la mise \u00e0 jour d\u0027ao\u00fbt 2019 avec les produits Symantec",
      "url": "https://support.microsoft.com/fr-fr/help/4512486/windows-7-update-kb4512486"
    }
  ],
  "reference": "CERTFR-2019-ALE-012",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2019-08-14T00:00:00.000000"
    },
    {
      "description": "Probl\u00e8me d\u0027incompatibilit\u00e9 avec les produits Symantec",
      "revision_date": "2019-08-14T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte",
      "revision_date": "2019-10-25T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 13 ao\u00fbt 2019, lors de la publication mensuelle de ses correctifs,\nMicrosoft a corrig\u00e9 plusieurs vuln\u00e9rabilit\u00e9s affectant les services de\nbureau \u00e0 distance (*Remote Desktop Services*, RDS). Parmi les failles\ncorrig\u00e9es, quatre d\u0027entre elles, critiques, permettent une ex\u00e9cution de\ncode arbitraire \u00e0 distance. Selon l\u0027\u00e9diteur, elles touchent les syst\u00e8mes\nWindows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows\n8.1, Windows Server 2012 R2 ainsi que toutes les versions support\u00e9es de\nWindows 10, cela incluant les versions serveur.\n\nCes vuln\u00e9rabilit\u00e9s identifi\u00e9es comme CVE-2019-1181, CVE-2019-1182,\nCVE-2019-1222 et CVE-2019-1226 peuvent \u00eatre exploit\u00e9es sans\nauthentification et sont consid\u00e9r\u00e9es comme \u00e9tant d\u0027une criticit\u00e9\nsimilaire \u00e0 la faille CVE-2019-0708 \\[1\\] corrig\u00e9e au mois de mai par\nl\u0027\u00e9diteur.\n\nEn accompagnement du bulletin mensuel sur les correctifs de s\u00e9curit\u00e9,\nMicrosoft a \u00e9galement publi\u00e9 un article de blogue \\[2\\] revenant sur\ndeux de ces failles, les CVE-2019-1181 et CVE-2019-1182. Celui-ci incite\nles utilisateurs \u00e0 mettre \u00e0 jour leurs syst\u00e8mes dans les plus brefs\nd\u00e9lais et met en garde contre le risque d\u0027utilisation de ce type de\nvuln\u00e9rabilit\u00e9 dans des attaques \u00e0 propagation de type \"ver\ninformatique\".\n\n\u00a0\n\n\u003cstrong\u003e\\[Mise \u00e0 jour 14 ao\u00fbt 2019\\]\u003c/strong\u003e\n\nMicrosoft a bloqu\u00e9 la mise \u00e0 jour d\u0027ao\u00fbt 2019 pour les utilisateurs de\nproduits Symantec et Norton \\[3\\]\\[4\\]. En effet, l\u0027algorithme SHA-2\npour la signature du certificat n\u0027est pas support\u00e9 par ces produits,\nceux-ci ne peuvent donc pas v\u00e9rifier la mise \u00e0 jour.\n\nMicrosoft d\u00e9conseille de forcer l\u0027installation. Aucune solution n\u0027est\ndisponible pour l\u0027instant.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Remote Desktop Services",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2019-1226 du 13 ao\u00fbt 2019",
      "url": "https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1226"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2019-1222 du 13 ao\u00fbt 2019",
      "url": "https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1222"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2019-1181 du 13 ao\u00fbt 2019",
      "url": "https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1181"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2019-1182 du 13 ao\u00fbt 2019",
      "url": "https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1182"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.


Loading…

Loading…

Loading…

Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.


Loading…

Loading…