RDP & Crypto API : de nouvelles failles de sécurité Microsoft

Ce mardi 14 janvier, Microsoft a publié une mise à jour corrigeant une faille de sécurité majeure à propos de la brique logicielle crypt32.dll, présente dans les versions les plus récentes de Windows (Windows 10, Windows Server 2016 et Windows Server 2019). Une mise à jour du 15 janvier corrige, elle, une autre faille de sécurité à propos du protocole Remote Desktop (RDP).

Au total, ces failles de sécurité sont concernées par quatre CVE différentes. Le point sur le comportement des produits Stormshield.

 


CVE-2020-0601 : Windows CryptoAPI Spoofing Vulnerability

Cette vulnérabilité touche le moteur cryptographique de Windows 10, Windows Server 2016 et 2019, au niveau de la validation des certificats basés sur des algorithmes de courbes elliptiques (Elliptic Curve Cryptography - ECC). Un attaquant pourrait faire croire à sa cible qu’un fichier malveillant est légitime et signé par une source fiable.

Stormshield Data Security – gestion de la menace

SDS reposant partiellement sur ce composant cryptographique de Microsoft lors des connexions aux serveurs LDAP, SDS Enterprise et SDS for Cloud and Mobility sont tous deux concernés par cette vulnérabilité.

Cependant, les potentiels scénarios d’attaques identifiés supposeraient que l’attaquant soit déjà capable d’avoir un accès sur le serveur Active Directory, avec suffisamment de droits pour pouvoir modifier la clé privée utilisée par le serveur. Dans une telle situation, l’attaquant serait en mesure de réaliser bien d’autres actions malveillantes, et ceci même sans exploiter cette vulnérabilité.

Stormshield Endpoint Security – gestion de la menace

SES lui-même n’est pas vulnérable.

SES n’est pas en mesure de détecter une exploitation de cette vulnérabilité en particulier sur un système à risque. Néanmoins, une fois le fichier malicieux ouvert sur un poste protégé par SES, les protections habituelles apportées par SES s’appliqueront

Stormshield Network Security – gestion de la menace

SNS lui-même n’est pas vulnérable.


CVE-2020-0609 et CVE-2020-0610 : deux vulnérabilités Remote Desktop (exécution de code à distance)

Ces vulnérabilités dans le composant Remote Desktop Gateway de Windows Server 2012 à 2019 peut permettre à un attaquant d’exécuter du code sur un serveur vulnérable via le protocole Microsoft Remote Desktop Protocol (RDP).

Stormshield Endpoint Security – gestion de la menace

SES HoneyPot Protection (HPP) et Ret-Lib-C Protection (RCP) bloquent les techniques habituellement utilisées pour exploiter ce type de vulnérabilités.

Stormshield Network Security – gestion de la menace

Afin de réduire la surface d’attaque, plusieurs actions peuvent être mises en œuvre pour limiter l’accès aux ressources RDP : autoriser des IP spécifiques, seulement des accès par le portail VPN SSL, le tunnel VPN SSL ou par tunnel VPN IPSec. Notez que ceci n’empêchera malgré tout pas un client autorisé à se connecter et tenter d’exploiter la vulnérabilité


CVE-2020-0612 : une autre vulnérabilité Remote Desktop (déni de service)

Cette vulnérabilité dans le composant Remote Desktop Gateway de Windows Server 2016 et 2019 peut permettre à un attaquant de créer un déni de service, empêchant des utilisateurs légitimes de se connecter à la passerelle Remote Desktop.

Stormshield Endpoint Security – gestion de la menace

SES n’est pas en mesure de bloquer les attaques exploitant cette vulnérabilité.

Stormshield Network Security – gestion de la menace

Comme mentionné plus haut, plusieurs actions peuvent être mises en œuvre pour réduire la surface d’attaque en limitant l’accès aux ressources RDP.


 

Concernant ces trois vulnérabilités Remote Desktop, vous devriez également envisager de désactiver le transport UDP pour le service Remote Desktop Gateway service dans votre serveur Windows, comme préconisé par le CERT-FR.

Par ailleurs, il est fortement recommandé d’appliquer les mises à jour de sécurité de Microsoft à vos serveurs et postes de travail dès que possible.

Partager sur

Besoin d’aide pour la configuration de vos produits Stormshield ? Appuyez-vous sur le site de la Documentation Technique de Stormshield.

A propos de l'auteur

mm
Julien Paffumi
Product Management Leader, Stormshield

Julien fait ses premières armes au sein de la R&D d'Arkoon, en tant qu’ingénieur Qualité. Il va ensuite former directement les administrateurs et acquiert une connaissance étendue de leurs besoins – expérience précieuse pour son rôle suivant de Product Manager des firewalls Arkoon Fast360, puis de la console d’administration centralisée Stormshield Management Center. Avide de partager ses trouvailles, Julien travaille à présent à l’amélioration continue de la démarche de Product Management chez Stormshield en tant que Product Management Leader. Un rôle transverse qui lui permet également de nourrir son éternelle curiosité avec une approche plus globale des solutions Stormshield.