CERTFR-2019-ALE-006
Vulnerability from certfr_alerte

[Mise à jour du 22 mai 2019 : Informations complémentaires et situation]

[Mise à jour du 23 mai 2019 : Informations sur la publication d'un correctif pour Windows Vista]

Le 14 mai 2019, lors de sa mise à jour mensuelle, Microsoft a publié un correctif pour une vulnérabilité identifiée comme CVE-2019-0708 [1].
Cette vulnérabilité impacte les services de bureau à distance (Remote Desktop Services, RDS), basé sur le protocole de bureau à distance (Remote Desktop Protocol, RDP) et régulièrement utilisé dans le cadre de l'administration à distance. Cette vulnérabilité permet l'exécution de code arbitraire sur un système vulnérable, et ce sans authentification ni interaction d'un utilisateur.

De par le risque particulièrement important qui découlerait d'une exploitation de cette faille, elle a fait l'objet d'un traitement spécifique de la part de l'éditeur. En effet, en plus des correctifs pour les systèmes actuellement maintenus par Microsoft, des mises à jours exceptionnelles ont également été rendues disponibles pour certains des anciens systèmes n'étant plus pris en charge. Cela comprend les systèmes Windows 2003 ainsi que Windows XP.

Le 23 mai 2019, Microsoft a rendu disponible un correctif pour le système Windows Vista [4].

De plus, une publication de l'éditeur alertant sur le caractère singulier de cette faille et mettant en garde contre un risque d'attaque par un ver informatique exploitant la CVE-2019-0708 a été mise en ligne sur le blog de Microsoft [2].

À la date du 22 mai 2019, aucun code d’exploitation public n’est disponible. Cependant, plusieurs sources fiables sur Internet se font l'écho de l’existence de tels codes, rendant alors crédible le risque de divulgation des détails techniques et l’exploitation automatisée qui pourrait suivre.

Une proposition de règle de détection s'appuyant sur certaines caractéristiques de la vulnérabilité a été rendue publique par NCC Group [3]. Il est ainsi possible dans certains cas de détecter une tentative d'exploitation. Cependant, dans le cas général les communications passent par un canal chiffré ce qui empêche les détections au niveau du réseau.

NLA (Network Level Authentication)

Pour éviter l’exploitation en pré-authentification, il est possible d'utiliser la fonctionnalité NLA qui force une authentification du client lors de l’initialisation de la connexion RDP.
La fonctionnalité NLA est implémentée depuis Windows Vista et Windows Server 2008 mais n’est pas forcément imposée par la configuration du service RDS. Il n’existe pas de configuration par défaut relative à l’activation de cette fonctionnalité et l’administrateur définit ces paramètres lors de l’installation.

Recommandations

Le CERT-FR recommande en premier lieu l'application des correctifs disponibles dans les plus brefs délais.

Les systèmes vulnérables doivent être identifiés et les mesures suivantes doivent être appliquées au plus vite :

Systèmes d'exploitation Mesures
Windows 7
Windows Server 2008		 En fonction de la configuration de NLA, les machines sont vulnérables en pré-authentification ou en post authentification. Pour que la vulnérabilité ne soit pas exploitable en pré-authentification, NLA doit être activé (cf. section Contournement provisoire)
Le CERT-FR recommande donc de déployer, par GPO si applicable, l’activation de NLA pour le service RDS.
Quelle que soit la configuration, les correctifs doivent être appliqués sur ces systèmes.
Il est rappelé que la fin du support de ces systèmes d’exploitation étant proche (14 janvier 2020), il est nécessaire de migrer vers des versions supportées.
Windows Vista Ce système n'est plus supporté par l’éditeur. L'utilisation de la fonctionnalité NLA permet d'éviter l'exploitation de la vulnérabilité en pré-authentification et peut être utilisé comme solution de contournement provisoire.
Bien qu'un correctif soit disponible pour cette version de Windows, la mise à niveau vers des systèmes soutenus par l’éditeur doit être réalisée en urgence.
Windows XP
Windows Server
2003		 Ces systèmes ne sont plus supportés par l’éditeur et aucun mécanisme de défense en profondeur n’est disponible pour réduire la gravité de cette vulnérabilité.
Aucune machine avec ces versions de Windows ne doit être connectée à Internet ou à un réseau local ni administrée par ce vecteur.
Bien que des correctifs soient disponibles pour ces versions de Windows, le remplacement vers des systèmes soutenus par l’éditeur doit être réalisé en urgence.

Solution

Le CERT-FR recommande l'application des correctifs disponibles dans les plus brefs délais. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Contournement provisoire

L'activation de NLA ne permet pas de corriger la vulnérabilité mais impose une authentification avant l'exécution de la section vulnérable du code. Elle pourra se faire à l'aide de la GPO suivante (version française puis version anglaise):

[pastacode lang="bash" manual="GPO%20%3E%20Configuration%20ordinateur%20%3E%20Mod%C3%A8les%20d%E2%80%99administration%20%3E%20Composants%20Windows%20%3E%20%0AService%20Bureau%20%C3%A0%20distance%20%3E%20H%C3%B4te%20de%20la%20session%20Bureau%20%C3%A0%20distance%20%3E%20S%C3%A9curit%C3%A9" message="" highlight="" provider="manual"/]

[pastacode lang="bash" manual="GPO%20%3E%20Computer%20Configuration%20%3E%20Administrative%20Templates%20%3E%20Windows%20Components%20%3E%20%0ARemote%20Desktop%20Services%20%3E%20Remote%20Desktop%20Session%20Host%20%3E%20Security" message="" highlight="" provider="manual"/]

None
Impacted products
Vendor Product Description
Microsoft Windows Windows XP
Microsoft Windows Windows Server 2008 R2
Microsoft Windows Windows Server 2008
Microsoft Windows Windows 7
Microsoft Windows Windows 2003
Microsoft Windows Windows Vista
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows XP",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 R2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 7",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 2003",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Vista",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2019-10-25",
  "content": "## Solution\n\nLe CERT-FR recommande l\u0027application des correctifs disponibles dans les\nplus brefs d\u00e9lais. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour\nl\u0027obtention des correctifs (cf. section Documentation).\n\n## Contournement provisoire\n\n\u00a0\n\nL\u0027activation de NLA ne permet pas de corriger la vuln\u00e9rabilit\u00e9 mais\nimpose une authentification avant l\u0027ex\u00e9cution de la section vuln\u00e9rable\ndu code. Elle pourra se faire \u00e0 l\u0027aide de la GPO suivante (version\nfran\u00e7aise puis version anglaise):\n\n\\[pastacode lang=\"bash\"\nmanual=\"GPO%20%3E%20Configuration%20ordinateur%20%3E%20Mod%C3%A8les%20d%E2%80%99administration%20%3E%20Composants%20Windows%20%3E%20%0AService%20Bureau%20%C3%A0%20distance%20%3E%20H%C3%B4te%20de%20la%20session%20Bureau%20%C3%A0%20distance%20%3E%20S%C3%A9curit%C3%A9\"\nmessage=\"\" highlight=\"\" provider=\"manual\"/\\]\n\n\\[pastacode lang=\"bash\"\nmanual=\"GPO%20%3E%20Computer%20Configuration%20%3E%20Administrative%20Templates%20%3E%20Windows%20Components%20%3E%20%0ARemote%20Desktop%20Services%20%3E%20Remote%20Desktop%20Session%20Host%20%3E%20Security\"\nmessage=\"\" highlight=\"\" provider=\"manual\"/\\]\n",
  "cves": [
    {
      "name": "CVE-2019-0708",
      "url": "https://www.cve.org/CVERecord?id=CVE-2019-0708"
    }
  ],
  "initial_release_date": "2019-05-22T00:00:00",
  "last_revision_date": "2019-10-25T00:00:00",
  "links": [
    {
      "title": "[3] R\u00e8gle de d\u00e9tection r\u00e9seau Suricata de NCC Group pour la CVE-2019-0708",
      "url": "https://github.com/nccgroup/Cyber-Defence/blob/master/Signatures/suricata/2019_05_rdp_cve_2019_0708.txt"
    },
    {
      "title": "[4] Instructions pour les clients concernant la CVE-2019-0708 de Microsoft",
      "url": "https://support.microsoft.com/fr-fr/help/4500705/customer-guidance-for-cve-2019-0708"
    },
    {
      "title": "Avis CERT-FR CERTFR-2019-AVI-223",
      "url": "https://cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-223/"
    },
    {
      "title": "[2] Publication de blogue de Microsoft sur la vuln\u00e9rabilit\u00e9 CVE-2019-0708",
      "url": "https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/"
    }
  ],
  "reference": "CERTFR-2019-ALE-006",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2019-05-22T00:00:00.000000"
    },
    {
      "description": "Informations compl\u00e9mentaires sur les syst\u00e8mes impact\u00e9s, les recommandations et les contournements provisoires",
      "revision_date": "2019-05-22T00:00:00.000000"
    },
    {
      "description": "Mise en forme",
      "revision_date": "2019-05-23T00:00:00.000000"
    },
    {
      "description": "Ajout des informations sur le correctif pour Windows Vista",
      "revision_date": "2019-05-23T00:00:00.000000"
    },
    {
      "description": "Correction syntaxique",
      "revision_date": "2019-05-24T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte",
      "revision_date": "2019-10-25T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Mise \u00e0 jour du 22 mai 2019 : Informations compl\u00e9mentaires et\nsituation\\]\u003c/strong\u003e\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 23 mai 2019 : Informations sur la publication d\u0027un\ncorrectif pour Windows Vista\\]\u003c/strong\u003e\n\nLe 14 mai 2019, lors de sa mise \u00e0 jour mensuelle, Microsoft a publi\u00e9 un\ncorrectif pour une vuln\u00e9rabilit\u00e9 identifi\u00e9e comme CVE-2019-0708 \\[1\\].  \nCette vuln\u00e9rabilit\u00e9 impacte les services de bureau \u00e0 distance (*Remote\nDesktop Services*, RDS), bas\u00e9 sur le protocole de bureau \u00e0 distance\n(*Remote Desktop Protocol*, RDP) et r\u00e9guli\u00e8rement utilis\u00e9 dans le cadre\nde l\u0027administration \u00e0 distance. Cette vuln\u00e9rabilit\u00e9 permet l\u0027ex\u00e9cution\nde code arbitraire sur un syst\u00e8me vuln\u00e9rable, et ce sans\nauthentification ni interaction d\u0027un utilisateur.\n\nDe par le risque particuli\u00e8rement important qui d\u00e9coulerait d\u0027une\nexploitation de cette faille, elle a fait l\u0027objet d\u0027un traitement\nsp\u00e9cifique de la part de l\u0027\u00e9diteur. En effet, en plus des correctifs\npour les syst\u00e8mes actuellement maintenus par Microsoft, des mises \u00e0\njours exceptionnelles ont \u00e9galement \u00e9t\u00e9 rendues disponibles pour\ncertains des anciens syst\u00e8mes n\u0027\u00e9tant plus pris en charge. Cela comprend\nles syst\u00e8mes Windows 2003 ainsi que Windows XP.\n\nLe 23 mai 2019, Microsoft a rendu disponible un correctif pour le\nsyst\u00e8me Windows Vista \\[4\\].\n\nDe plus, une publication de l\u0027\u00e9diteur alertant sur le caract\u00e8re\nsingulier de cette faille et mettant en garde contre un risque d\u0027attaque\npar un ver informatique exploitant la CVE-2019-0708 a \u00e9t\u00e9 mise en ligne\nsur le blog de Microsoft \\[2\\].\n\n\u00c0 la date du 22 mai 2019, aucun code d\u2019exploitation public n\u2019est\ndisponible. Cependant, plusieurs sources fiables sur Internet se font\nl\u0027\u00e9cho de l\u2019existence de tels codes, rendant alors cr\u00e9dible le risque de\ndivulgation des d\u00e9tails techniques et l\u2019exploitation automatis\u00e9e qui\npourrait suivre.\n\nUne proposition de r\u00e8gle de d\u00e9tection s\u0027appuyant sur certaines\ncaract\u00e9ristiques de la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 rendue publique par NCC Group\n\\[3\\]. Il est ainsi possible dans certains cas de d\u00e9tecter une tentative\nd\u0027exploitation. Cependant, dans le cas g\u00e9n\u00e9ral les communications\npassent par un canal chiffr\u00e9 ce qui emp\u00eache les d\u00e9tections au niveau du\nr\u00e9seau.\n\n### NLA (*Network Level Authentication*)\n\nPour \u00e9viter l\u2019exploitation en pr\u00e9-authentification, il est possible\nd\u0027utiliser la fonctionnalit\u00e9 NLA qui force une authentification du\nclient lors de l\u2019initialisation de la connexion RDP.  \nLa fonctionnalit\u00e9 NLA est impl\u00e9ment\u00e9e depuis Windows Vista et Windows\nServer 2008 mais n\u2019est pas forc\u00e9ment impos\u00e9e par la configuration du\nservice RDS. Il n\u2019existe pas de configuration par d\u00e9faut relative \u00e0\nl\u2019activation de cette fonctionnalit\u00e9 et l\u2019administrateur d\u00e9finit ces\nparam\u00e8tres lors de l\u2019installation.\n\n### Recommandations\n\nLe CERT-FR recommande en premier lieu l\u0027application des correctifs\ndisponibles dans les plus brefs d\u00e9lais.\n\nLes syst\u00e8mes vuln\u00e9rables doivent \u00eatre identifi\u00e9s et les mesures\nsuivantes doivent \u00eatre appliqu\u00e9es au plus vite :\n\n\u003ctable\u003e\n\u003ccolgroup\u003e\n\u003ccol style=\"width: 50%\" /\u003e\n\u003ccol style=\"width: 50%\" /\u003e\n\u003c/colgroup\u003e\n\u003ctbody\u003e\n\u003ctr class=\"header\"\u003e\n\u003cth\u003eSyst\u00e8mes d\u0027exploitation\u003c/th\u003e\n\u003cth style=\"text-align: center;\"\u003eMesures\u003c/th\u003e\n\u003c/tr\u003e\n\n\u003ctr class=\"odd\"\u003e\n\u003ctd\u003eWindows 7\u003cbr /\u003e\nWindows Server 2008\u003c/td\u003e\n\u003ctd style=\"text-align: center;\"\u003eEn fonction de la configuration de NLA,\nles machines sont vuln\u00e9rables en pr\u00e9-authentification ou en post\nauthentification. Pour que la vuln\u00e9rabilit\u00e9 ne soit pas exploitable en\npr\u00e9-authentification, NLA doit \u00eatre activ\u00e9 (cf. section\n\u003cstrong\u003eContournement provisoire\u003c/strong\u003e)\u003cbr /\u003e\nLe CERT-FR recommande donc de d\u00e9ployer, par GPO si applicable,\nl\u2019activation de NLA pour le service RDS.\u003cbr /\u003e\nQuelle que soit la configuration, les correctifs doivent \u00eatre appliqu\u00e9s\nsur ces syst\u00e8mes.\u003cbr /\u003e\nIl est rappel\u00e9 que la fin du support de ces syst\u00e8mes d\u2019exploitation\n\u00e9tant proche (14 janvier 2020), il est n\u00e9cessaire de migrer vers des\nversions support\u00e9es.\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr class=\"even\"\u003e\n\u003ctd\u003eWindows Vista\u003c/td\u003e\n\u003ctd style=\"text-align: center;\"\u003eCe syst\u00e8me n\u0027est plus support\u00e9 par\nl\u2019\u00e9diteur. L\u0027utilisation de la fonctionnalit\u00e9 NLA permet d\u0027\u00e9viter\nl\u0027exploitation de la vuln\u00e9rabilit\u00e9 en pr\u00e9-authentification et peut \u00eatre\nutilis\u00e9 comme solution de contournement provisoire.\u003cbr /\u003e\nBien qu\u0027un correctif soit disponible pour cette version de Windows, la\nmise \u00e0 niveau vers des syst\u00e8mes soutenus par l\u2019\u00e9diteur doit \u00eatre\nr\u00e9alis\u00e9e en urgence.\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr class=\"odd\"\u003e\n\u003ctd\u003eWindows XP\u003cbr /\u003e\nWindows Server\u003cbr /\u003e\n2003\u003c/td\u003e\n\u003ctd style=\"text-align: center;\"\u003eCes syst\u00e8mes ne sont plus support\u00e9s par\nl\u2019\u00e9diteur et aucun m\u00e9canisme de d\u00e9fense en profondeur n\u2019est disponible\npour r\u00e9duire la gravit\u00e9 de cette vuln\u00e9rabilit\u00e9.\u003cbr /\u003e\nAucune machine avec ces versions de Windows ne doit \u00eatre connect\u00e9e \u00e0\nInternet ou \u00e0 un r\u00e9seau local ni administr\u00e9e par ce vecteur.\u003cbr /\u003e\nBien que des correctifs soient disponibles pour ces versions de Windows,\nle remplacement vers des syst\u00e8mes soutenus par l\u2019\u00e9diteur doit \u00eatre\nr\u00e9alis\u00e9 en urgence.\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\n\u003c/table\u003e\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Microsoft Remote Desktop Services",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "[1] Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2019-0708 du 14 mai 2019",
      "url": "https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2019-0708"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.