Microsoft livre son Patch Tuesday d'août avec au programme la correction de 93 vulnérabilités de sécurité dans ses produits comme Windows, Microsoft Edge, Internet Explorer, ChakraCore (moteur JavaScript de Microsoft Edge) et Office.
Parmi ces vulnérabilités, 29 sont jugées critiques (Zero Day Initiative). Il n'est toutefois pas fait mention d'une divulgation publique ou d'une exploitation dans la nature. Microsoft souligne quoi qu'il en soit le cas de vulnérabilités dans Remote Desktop Services (RDS) pour toutes les versions de Windows.
August 2019 Security Update includes fixes for wormable RCE vulnerabilities in Remote Desktop Services (RDS), affecting all in-support versions of Windows. These should be patched quickly. For more information, see https://t.co/VxstoaChTF
— Security Response (@msftsecresponse) 13 août 2019
En l'occurrence, cette architecture de Services Bureau à distance (prise de contrôle d'un ordinateur distant ou d'une machine virtuelle via le réseau) est affectée par quatre vulnérabilités critiques d'exécution de code à distance : CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 et CVE-2019-1226. Pour les deux premières, Microsoft évoque des vulnérabilités " wormable. "
Autrement dit, ces deux vulnérabilités peuvent servir à des vers informatiques dans RDS. Une exploitation par un malware pourrait lui permettre de se propager sur des ordinateurs vulnérables sans l'interaction de la part de l'utilisateur.
Ces deux vulnérabilités sont comparables à la vulnérabilité dite BlueKeep (CVE-2019-0708) qui a été corrigée en mai. Sauf que BlueKeep n'affectait pas Windows 10, mais seulement d'anciennes versions comme Windows 7. Pour l'occasion, Microsoft avait même pris des dispositions concernant Windows XP (et Windows 2003) en gardant en mémoire la mésaventure de 2017 avec WannaCry.
Cette fois-ci, le vieux Windows XP n'est pas concerné, ni le Remote Desktop Protocol (RDP) lui-même. " Il est important que les systèmes affectés soient corrigés le plus rapidement possible en raison des risques associés à des vulnérabilités wormable comme celles-ci ", écrit Simon Pope du Microsoft Security Response Center.
Il souligne par ailleurs des mesures d'atténuation partielles sur les systèmes affectés où la technologie Network Level Authentication (NLA) pour la sécurisation des connexions RDP est activée. Ils sont toujours vulnérables si un attaquant dispose d'identifiants valides pour une authentification.
À noter aussi que dans son Patch Tuesday, Microsoft corrige une vulnérabilité touchant toutes les versions de Windows (et même depuis XP) et en lien avec le protocole CTF - très peu documenté - faisant partie de Text Services Framework (TSF) pour la gestion du texte affiché dans Windows et les applications.
Cette correction fait suite à des trouvailles du réputé chercheur en sécurité Tavis Ormandy de Project Zero de Google qui indique avoir mis au jour une nouvelle surface d'attaque. Ci-dessous, une démo de l'exploitation de CTF pour l'obtention de privilèges système dans Windows 10 :
Here's a video of the exploit I wrote, I actually had to write a custom rudimentary scripting language ? https://t.co/eO74xahbjs
— Tavis Ormandy (@taviso) 13 août 2019
Le patch ne sera cependant sans doute pas suffisant, dans la mesure où Tavis Ormandy a découvert d'autres vulnérabilités permettant à un attaquant de prendre le contrôle à distance d'un ordinateur Windows.
Et attention… il passe à la divulgation publique en vertu de la politique de rétention de 90 jours de Google Project Zero.
