Microsoft RDS : Quand les voyous s’emparent des plus anciens…

Elle n’affecterait que les versions inférieures à Windows 8 pour les postes de travail et à Windows Server 2012 pour les serveurs. Les plateformes les plus exposées à cette menace sont donc celles qui implémentent des systèmes Windows d’anciennes générations et limités en terme de mises à jours, tels que les environnements ICS (Industrial Control System), utilisés dans de monde de l’automobile, du ferroviaire, mais pas que… Et comme vous n’êtes pas sans savoir que les services RDS sont utilisés en masse et partout dans le monde, les portes d’entrées sont nombreuses pour les hackers qui vont se faire un malin plaisir à venir « visiter » les environnements les plus sensibles pour y faire leur marché (attaques par programmes malveillants, vol de données, suppression de fichiers, création de comptes à privilèges, etc…).

En fait, ce n’est pas directement le protocole RDP (Remote Desktop Protocol) qui est mis en question car il n’est pas vulnérable, mais la pré-authentification à la connexion qui ne nécessite pas d’interaction de l'utilisateur. L’authentification NLA (Network Level Authentication) permettrait de rentrer un compte de connexion avant que la vulnérabilité ne puisse être déclenchée, mais cette protection n’est pas suffisante si l’attaquant dispose déjà d’informations d’identité valides pour s’authentifier.

La probabilité qu'un autre « WannaCry » pointe très vite son nez à l'horizon est élevée, alors mettez rapidement à jour vos environnements RDS concernés par la menace avant qu’il ne soit trop tard. Des solutions de gestion des comptes à privilèges PAM (Privileged Access Management), dotées nativement de sécurités avancées (VPN, authentification multi-facteurs (MFA), contrôle de conformité et d’intégrité du poste de travail, ...), telle que Systancia Cleanroom, existent pour contrer ces attaques.

Ne dit-on pas « mieux vaut prévenir que guérir » ?  

Les correctifs sont disponibles ici : CVE-2019-0708