Ce mardi 14 janvier, Microsoft a publié une mise à jour corrigeant une faille de sécurité majeure à propos de la brique logicielle crypt32.dll, présente dans les versions les plus récentes de Windows (Windows 10, Windows Server 2016 et Windows Server 2019). Une mise à jour du 15 janvier corrige, elle, une autre faille de sécurité à propos du protocole Remote Desktop (RDP).
Au total, ces failles de sécurité sont concernées par quatre CVE différentes. Le point sur le comportement des produits Stormshield.
CVE-2020-0601 : Windows CryptoAPI Spoofing Vulnerability
Cette vulnérabilité CVE-2020-0601 touche le moteur cryptographique de Windows 10, Windows Server 2016 et 2019, au niveau de la validation des certificats basés sur des algorithmes de courbes elliptiques (Elliptic Curve Cryptography - ECC). Un attaquant pourrait faire croire à sa cible qu’un fichier malveillant est légitime et signé par une source fiable.
Stormshield Data Security – gestion de la menace
SDS reposant partiellement sur ce composant cryptographique de Microsoft lors des connexions aux serveurs LDAP, SDS Enterprise et SDS for Cloud and Mobility sont tous deux concernés par cette vulnérabilité.
Cependant, les potentiels scénarios d’attaques identifiés supposeraient que l’attaquant soit déjà capable d’avoir un accès sur le serveur Active Directory, avec suffisamment de droits pour pouvoir modifier la clé privée utilisée par le serveur. Dans une telle situation, l’attaquant serait en mesure de réaliser bien d’autres actions malveillantes, et ceci même sans exploiter cette vulnérabilité.
Stormshield Endpoint Security – gestion de la menace
SES lui-même n’est pas vulnérable.
SES n’est pas en mesure de détecter une exploitation de cette vulnérabilité en particulier sur un système à risque. Néanmoins, une fois le fichier malicieux ouvert sur un poste protégé par SES, les protections habituelles apportées par SES s’appliqueront
Stormshield Network Security – gestion de la menace
SNS lui-même n’est pas vulnérable.
CVE-2020-0609 et CVE-2020-0610 : deux vulnérabilités Remote Desktop (exécution de code à distance)
Ces vulnérabilités CVE-2020-0609 et CVE-2020-0610 dans le composant Remote Desktop Gateway de Windows Server 2012 à 2019 peut permettre à un attaquant d’exécuter du code sur un serveur vulnérable via le protocole Microsoft Remote Desktop Protocol (RDP).
Stormshield Endpoint Security – gestion de la menace
SES HoneyPot Protection (HPP) et Ret-Lib-C Protection (RCP) bloquent les techniques habituellement utilisées pour exploiter ce type de vulnérabilités.
Stormshield Network Security – gestion de la menace
Afin de réduire la surface d’attaque, plusieurs actions peuvent être mises en œuvre pour limiter l’accès aux ressources RDP : autoriser des IP spécifiques, seulement des accès par le portail VPN SSL, le tunnel VPN SSL ou par tunnel VPN IPSec. Notez que ceci n’empêchera malgré tout pas un client autorisé à se connecter et tenter d’exploiter la vulnérabilité
CVE-2020-0612 : une autre vulnérabilité Remote Desktop (déni de service)
Cette vulnérabilité CVE-2020-0612 dans le composant Remote Desktop Gateway de Windows Server 2016 et 2019 peut permettre à un attaquant de créer un déni de service, empêchant des utilisateurs légitimes de se connecter à la passerelle Remote Desktop.
Stormshield Endpoint Security – gestion de la menace
SES n’est pas en mesure de bloquer les attaques exploitant cette vulnérabilité.
Stormshield Network Security – gestion de la menace
Comme mentionné plus haut, plusieurs actions peuvent être mises en œuvre pour réduire la surface d’attaque en limitant l’accès aux ressources RDP.
Concernant ces trois vulnérabilités Remote Desktop, vous devriez également envisager de désactiver le transport UDP pour le service Remote Desktop Gateway service dans votre serveur Windows, comme préconisé par le CERT-FR.
Par ailleurs, il est fortement recommandé d’appliquer les mises à jour de sécurité de Microsoft à vos serveurs et postes de travail dès que possible.
