CERTFR-2020-ALE-005
Vulnerability from certfr_alerte

[Mise à jour du 29 janvier 2020]

Du code d'attaque est désormais disponible publiquement concernant l'exploitation des vulnérabilités CVE-2020-0609 et CVE-2020-0610.

Pour l'instant, le code publique ne permet en l'état qu'un déni de service. Toutefois, il a été annoncé que du code d'attaque permettant une exécution de code arbitraire à distance sera bientôt publié. Cela rendra possible l'exploitation de ces vulnérabilités même à des attaquants d'un faible niveau technique.

Le CERT-FR insiste sur l'importance d'appliquer les correctifs dans les plus brefs délais.

[Version Initiale]

Depuis Microsoft Windows Server 2012, la passerelle d'accès distant Microsoft Remote Desktop Gateway (RD Gateway) intègre par défaut de nouvelles fonctionnalités dénommées RemoteFX améliorant la prise en charge de certains contenus multimédias et également l'optimisation du trafic réseau sur des liaisons de faible capacité. Dénommée RemoteFX for WAN, cette optimisation réseau permet de mettre en oeuvre le protocole RDP sur UDP avec chiffrement DTLS.

La fonction principale de la solution RD Gateway est de cloisonner les flux internes nécessaires au fonctionnement des Remote Desktop Services et de ne présenter que des interfaces HTTPS et DTLS sur Internet.

Le 14 janvier, Microsoft a émis deux avis de sécurité concernant deux vulnérabilités qui permettent une exécution de code à distance sans authentification préalable.

Qu'elle soit exposée sur Internet ou bien située sur une interconnexion du système d'information, une telle passerelle est de par sa fonction exposée. Elle constitue un élément critique de l'architecture d'un réseau et toute vulnérabilité doit donc être corrigée dans les plus brefs délais.

Solution

L'ANSSI recommande d'appliquer les correctifs mis à disposition par Microsoft dans le cadre de son programme Patch Tuesday (en date du 14 janvier) sans délai.

Dans l'éventualité où ces correctifs ne sont pas applicables rapidement, l'ANSSI suggère de désactiver le transport UDP pour le service Remote Desktop Gateway. Par ailleurs, ce mode de transport est voué à améliorer l'expérience utilisateur en cas d'utilisation d'un réseau de faible capacité, par conséquent, si le besoin n'est pas avéré, il est fortement recommandé de désactiver définitivement ce mode de transport.

La désactivation du transport UDP s'applique en passant par les propriétés du serveur RD Gateway :

  • Dans l'onglet « Transport Parameters », « UDP transport parameters », décocher la case « enable UDP transport »
  • Dans l'onglet « SSL bridging », décocher « utiliser le SSL bridging », décocher la case « HTTPS-HTTP bridging »
None
Impacted products
Vendor Product Description
Microsoft Windows Windows Server 2012
Microsoft Windows Windows Server 2019
Microsoft Windows Windows Server 2012 R2
Microsoft Windows Windows Server 2016
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows Server 2012",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2019",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2012 R2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2016",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2020-02-19",
  "content": "## Solution\n\nL\u0027ANSSI recommande d\u0027appliquer les correctifs mis \u00e0 disposition par\nMicrosoft dans le cadre de son programme *Patch Tuesday* (en date du 14\njanvier) sans d\u00e9lai.\n\nDans l\u0027\u00e9ventualit\u00e9 o\u00f9 ces correctifs ne sont pas applicables rapidement,\nl\u0027ANSSI sugg\u00e8re de d\u00e9sactiver le transport UDP pour le service *Remote\nDesktop Gateway.* Par ailleurs, ce mode de transport est vou\u00e9 \u00e0\nam\u00e9liorer l\u0027exp\u00e9rience utilisateur en cas d\u0027utilisation d\u0027un r\u00e9seau de\nfaible capacit\u00e9, par cons\u00e9quent, si le besoin n\u0027est pas av\u00e9r\u00e9, il est\nfortement recommand\u00e9 de d\u00e9sactiver d\u00e9finitivement ce mode de transport.\n\nLa d\u00e9sactivation du transport UDP s\u0027applique en passant par les\npropri\u00e9t\u00e9s du serveur *RD Gateway* :\n\n-   Dans l\u0027onglet \u00ab *Transport Parameters* \u00bb, \u00ab *UDP transport\n    parameters* \u00bb, d\u00e9cocher la case \u00ab *enable UDP transport* \u00bb\n-   Dans l\u0027onglet \u00ab *SSL bridging* \u00bb, d\u00e9cocher \u00ab *utiliser le SSL\n    bridging* \u00bb, d\u00e9cocher la case \u00ab *HTTPS-HTTP bridging* \u00bb\n",
  "cves": [
    {
      "name": "CVE-2020-0609",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-0609"
    },
    {
      "name": "CVE-2020-0610",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-0610"
    }
  ],
  "initial_release_date": "2020-01-14T00:00:00",
  "last_revision_date": "2020-02-19T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2020-AVI-026 du 14 janvier 2020",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-026/"
    }
  ],
  "reference": "CERTFR-2020-ALE-005",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-01-14T00:00:00.000000"
    },
    {
      "description": "Correction lien CVE-2020-0609",
      "revision_date": "2020-01-15T00:00:00.000000"
    },
    {
      "description": "Annonce de la publication du code d\u0027attaque.",
      "revision_date": "2020-01-29T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. La cl\u00f4ture d\u0027une alerte ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2020-02-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Mise \u00e0 jour du 29 janvier 2020\\]\u003c/strong\u003e\n\nDu code d\u0027attaque est d\u00e9sormais disponible publiquement concernant\nl\u0027exploitation des vuln\u00e9rabilit\u00e9s CVE-2020-0609 et\u00a0CVE-2020-0610.\n\nPour l\u0027instant, le code publique ne permet en l\u0027\u00e9tat qu\u0027un d\u00e9ni de\nservice. Toutefois, il a \u00e9t\u00e9 annonc\u00e9 que du code d\u0027attaque permettant\nune ex\u00e9cution de code arbitraire \u00e0 distance sera bient\u00f4t publi\u00e9. Cela\nrendra possible l\u0027exploitation de ces vuln\u00e9rabilit\u00e9s m\u00eame \u00e0 des\nattaquants d\u0027un faible niveau technique.\n\nLe CERT-FR insiste sur l\u0027importance d\u0027appliquer les correctifs dans les\nplus brefs d\u00e9lais.\n\n\u003cstrong\u003e\\[Version Initiale\\]\u003c/strong\u003e\n\nDepuis Microsoft Windows Server 2012, la passerelle d\u0027acc\u00e8s distant\n*Microsoft Remote Desktop Gateway* (*RD Gateway*) int\u00e8gre par d\u00e9faut de\nnouvelles fonctionnalit\u00e9s d\u00e9nomm\u00e9es *RemoteFX* am\u00e9liorant la prise en\ncharge de certains contenus multim\u00e9dias et \u00e9galement l\u0027optimisation du\ntrafic r\u00e9seau sur des liaisons de faible capacit\u00e9. D\u00e9nomm\u00e9e *RemoteFX\nfor WAN*, cette optimisation r\u00e9seau permet de mettre en oeuvre le\nprotocole RDP sur UDP avec chiffrement DTLS.\n\nLa fonction principale de la solution *RD Gateway* est de cloisonner les\nflux internes n\u00e9cessaires au fonctionnement des *Remote Desktop\nServices* et de ne pr\u00e9senter que des interfaces *HTTPS* et *DTLS* sur\nInternet.\n\nLe 14 janvier, Microsoft a \u00e9mis deux avis de s\u00e9curit\u00e9 concernant deux\nvuln\u00e9rabilit\u00e9s qui permettent une ex\u00e9cution de code \u00e0 distance sans\nauthentification pr\u00e9alable.\n\nQu\u0027elle soit expos\u00e9e sur Internet ou bien situ\u00e9e sur une interconnexion\ndu syst\u00e8me d\u0027information, une telle passerelle est de par sa fonction\nexpos\u00e9e. Elle constitue un \u00e9l\u00e9ment critique de l\u0027architecture d\u0027un\nr\u00e9seau et toute vuln\u00e9rabilit\u00e9 doit donc \u00eatre corrig\u00e9e dans les plus\nbrefs d\u00e9lais.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans le serveur de passerelle RDP de Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Note de publication Microsoft du 14 janvier 2020",
      "url": "https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/2020-Jan"
    },
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Microsoft du 14 janvier 2020",
      "url": "https://portal.msrc.microsoft.com/fr-FR/security-guidance"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.