Numéro : AL19-009
Date : 14 mai 2019
OBJET
La présente alerte vise à sensibiliser les destinataires à une vulnérabilité d’exécution de code à distance découverte récemment dans la plateforme des services Bureau à distance de Microsoft.
ÉVALUATION
Microsoft a diffusé des correctifs pour une vulnérabilité critique des services Bureau à distance. Un auteur distant non authentifié qui parviendrait à exploiter cette vulnérabilité serait en mesure d’exécuter du code arbitraire sur certains systèmes d’exploitation Microsoft utilisant les services Bureau à distance. Il s’agit d’une vulnérabilité aux vers, c’est-à-dire que les exploits de cette vulnérabilité pourraient automatiquement se propager d’un système vulnérable à un autre.
Les systèmes d’exploitation vulnérables sont les suivants :
- Windows 7 pour systèmes 32 bits, Service Pack 1
- Windows 7 pour systèmes à processeur x64, Service Pack 1
- Windows Server 2008 pour systèmes 32 bits, Service Pack 2
- Windows Server 2008 pour systèmes 32 bits, Service Pack 2
- Windows Server 2008 pour systèmes à processeur Itanium, Service Pack 2
- Windows Server 2008 pour systèmes à processeur 64x, Service Pack 2
- Windows Server 2008 pour systèmes à processeur 64x, Service Pack 2 (installation minimale)
- Windows Server 2008 R2 pour systèmes à processeur Itanium, Service Pack 1
- Windows Server 2008 R2 pour systèmes à processeur 64x, Service Pack 1
- Windows Server 2008 R2 pour systèmes à processeur 64x, Service Pack 1 (installation minimale)
- Windows XP SP3 x86
- Windows XP Professional Édition x64 SP2
- Windows XP Embedded SP3 x86
- Windows Server 2003 SP2 x86
- Windows Server 2003 Édition x64 SP2
MESURES RECOMMANDÉES
- Installez les plus récentes mises à jour des systèmes d’exploitation vulnérables.
- Désactivez les services Bureau à distance si vous n’en avez pas besoin. Au besoin, surveillez les activités suspectes dans le trafic réseau et les journaux des systèmes vulnérables.
- Activez l’authentification au niveau du réseau (NLA) sur les systèmes qui exécutent Windows 7, Windows Server 2008 et Windows Server 2008 R2. Il s’agit d’une atténuation partielle qui empêchera que le maliciel se propage. Lorsque l’authentification NLA est activée, un attaquant devrait d’abord s’authentifier à l’aide d’un compte valide sur le système cible.
- Bloquez le port TCP 3389 sur le coupe-feu, dans la mesure du possible. Cette mesure empêchera tout accès non autorisé provenant d’Internet.
RÉFÉRENCES
Avis de sécurité de Microsoft : https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
Avis de sécurité de Microsoft pour les anciens systèmes d’exploitation (Windows XP et Server 2003) : https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708 (en anglais)
Blogue de Microsoft : https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/ (en anglais)
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.