Comment se protéger efficacement avec les solutions Stormshield face à la vulnérabilité dans Microsoft Remote Desktop Services

Comme précisé dans le bulletin d’alerte du CERT-FR, Microsoft a publié un correctif pour une vulnérabilité identifiée comme CVE-2019-0708 lors de sa mise à jour mensuelle du 14 mai 2019. Cette vulnérabilité impactant les services de bureau à distance (Remote Desktop Services, RDS) permet l'exécution de code arbitraire sur un système vulnérable, et ce sans authentification ni interaction d'un utilisateur.

Les systèmes concernés à ce jour sont :

  • Windows 7,
  • Windows Server 2008 R2,
  • Windows Server 2008,
  • Windows Server 2003,
  • Windows XP.

De par le risque particulièrement important qui découlerait d'une exploitation de cette faille, elle a fait l'objet d'un traitement spécifique de la part de l'éditeur. En effet, en plus des correctifs pour les systèmes actuellement maintenus par Microsoft, la compagnie a également rendu disponible des mises à jours exceptionnelles pour les anciens systèmes n'étant plus pris en charge, à savoir Windows 2003 ainsi que Windows XP.

En parallèle, une publication alertant sur le caractère singulier de cette faille et mettant en garde contre un risque d'attaque par un ver informatique exploitant la CVE-2019-0708 a été mise en ligne sur le blog Microsoft.

Les solutions Stormshield Endpoint Security (SES) et Stormshield Network Security (SNS) apportent des solutions pour réduire la surface d’attaque de votre parc face aux exploitations potentielles de cette vulnérabilité.

SES – Gestion de la menace

Il s’agit d’une vulnérabilité noyau, accessible depuis une machine distante dès lors qu’elle peut se connecter et envoyer des données sur le port TCP/3389 de la machine ciblée. Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire en mode privilégié (noyau).

SES ne détecte pas ce type d’exploitation.

Restriction des accès au port TCP/3389

Afin de réduire la surface d’attaque dans votre parc, nous vous recommandons de restreindre les accès RDP aux seuls clients et serveurs légitimes, dans les règles de pare-feu de SES.
Ceci n’empêchera pas néanmoins un client autorisé, d’exploiter la vulnérabilité pour exécuter du code et effectuer des actions sur le serveur auxquelles il n’aurait ordinairement pas accès.

 


SNS – Gestion de la menace [MàJ 28/05/2019]

Une signature est désormais disponible pour bloquer les exploitations connues de cette vulnérabilité.

En complément, afin de réduire encore la surface d’attaque dans votre parc, plusieurs mesures peuvent être mises en place pour restreindre l’accès aux ressources devant être accédées en RDP. Ces mesures n’empêcheront pas néanmoins un client autorisé d’exploiter la vulnérabilité sur le serveur pour exécuter du code et effectuer des actions auxquelles il n’aurait ordinairement pas accès.

Signature IPS

Le produit Stormshield Network Security dispose d’une signature IPS pour bloquer des exploitations connues de cette vulnérabilité : « CVE-2019-0708 Tentative d'exploitation via Protocole de Bureau Distant ». Elle est définie par défaut en action « Interdire » pour tous les modèles de protection.

Assurez-vous que la ou les règles de filtrage autorisant les connexions RDP dans votre réseau activent bien la protection IPS.

Restriction des accès au port TCP/3389 par authentification des utilisateurs

Vous pouvez forcer les utilisateurs à s’authentifier sur le firewall avant de pouvoir accéder au service RDP des machines de votre réseau.

Pour plus d’information sur l’authentification des utilisateurs, référez-vous au guide d’administration SNS.

Restriction des accès au port TCP/3389 par le portail VPN SSL, par un tunnel VPN SSL ou par un tunnel VPN IPsec

Vous pouvez également exiger des utilisateurs qu’ils montent un tunnel VPN pour pouvoir atteindre les machines offrant un service RDP dans votre réseau, ou se connectent par l’intermédiaire du portail VPN SSL. Ceci permet non seulement d’authentifier les utilisateurs mais aussi de chiffrer la communication entre le client et le firewall.

Pour plus d’informations sur le portail VPN SSL, référez-vous au guide d’administration SNS et à cet article de la Base de Connaissances Stormshield.

Pour plus d’informations sur les tunnels VPN SSL et IPsec, référez-vous aux notes techniques SNS, dans la section VPN.

 


Autres recommandations

Application du patch

Appliquez le patch Microsoft officiel dès que possible.

Informations d’investigation

Il n’y a à l’heure actuelle aucun indicateur de compromission connu qui permettrait de déterminer si vous avez été victime d’une attaque exploitant cette vulnérabilité.

Partager sur

A propos de l'auteur

mm
Julien Paffumi
Product Management Leader, Stormshield

Julien Paffumi fait ses premières armes au sein de la R&D d'Arkoon, en tant qu’ingénieur Qualité. Il va ensuite former directement les administrateurs et acquiert une connaissance étendue de leurs besoins – expérience précieuse pour son rôle suivant de Product Manager des firewalls Arkoon Fast360, puis de la console d’administration centralisée Stormshield Management Center. Avide de partager ses trouvailles, Julien travaille à présent à l’amélioration continue de la démarche de Product Management chez Stormshield en tant que Product Management Leader. Un rôle transverse qui lui permet également de nourrir son éternelle curiosité avec une approche plus globale des solutions Stormshield.