CERTFR-2017-ALE-008

Vulnerability from certfr_alerte - Published: - Updated:

De multiples vulnérabilités ont été découvertes dans Windows XP et Windows Server 2003. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges.

Description

Le 14 avril 2017, le groupe d'attaquants Shadowbrokers a publié une nouvelle archive contenant des outils offensifs.
Parmi ceux-ci se trouvent des codes permettant d'exploiter :

Remote Desktop Protocol (RDP)

Un code permet l'exploitation d'une vulnérabilité accessible par le service Remote Desktop Protocol.

Le composant affecté correspond au service d'authentification par carte à puce, exposé via l'extension RDP Smart Card Virtual Channel. Quand les machines sont membres d'un domaine Active Directory, ce composant est activé par défaut et accessible via le protocole RDP (port TCP 3389).

La vulnérabilité est présente même si l'authentification par carte à puce n'est pas utilisée. Le code d'attaque disponible publiquement permet d'obtenir une exécution de code arbitraire à distance avec les privilèges SYSTEM.

Le CERT-FR recommande de filtrer l'accès au service RDP (port TCP 3389), que les machines soient accessibles ou non sur internet, afin que seules des machines de confiance puissent s'y connecter. De manière plus générale, le CERT-FR déconseille l'utilisation de systèmes en fin de vie (cf. section Documentation).

Il existe toutefois une mesure de contournement efficace et simple à implémenter. La clé de registre suivante est présente par défaut dans toutes les versions de Windows XP et Windows Server 2003 :

  • \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Gemplus GemSAFE Card CSP v1.0.

Supprimer celle-ci rend l'exploitation de cette vulnérabilité impossible. Elle implique cependant un effet de bord car la suppression de cette clé de registre empêche l'utilisation de lecteurs de cartes utilisant les pilotes Gemalto.

Le 13 juin 2017, Microsoft a publié un correctif pour cette vulnérabilité exploitée par le code d'attaque ESTEEMAUDIT (cf. section Documentation).

Microsoft Server Message Block (SMB)

Plusieurs codes d'exploitation ciblent le serveur SMB de Windows et permettent une exécution de code arbitraire à distance avec des privilèges élevés (noyau).

Le 12 mai 2017, l'une des vulnérabilités SMB a été exploitée dans le cadre d'une campagne de propagation de rançongiciels (cf. section Documentation). Au vu de l'ampleur de la menace et à titre exceptionnel, Microsoft a publié un correctif de sécurité (cf. section Documentation) pour des systèmes qui ne sont plus maintenus depuis de nombreux mois, voire plusieurs années.

L'exploitation avérée à grande échelle de cette vulnérabilité rend d'autant plus critique l'installation des correctifs dans les plus brefs délais et la migration des systèmes obsolètes.

Microsoft Exchange

L'un des codes permet d'obtenir une exécution de code à distance sur les versions de Microsoft Exchange 2007 et antérieures.

Le 13 juin 2017, Microsoft a publié un correctif pour cette vulnérabilité exploitée par le code d'attaque ENGLISHMANDENTIST (cf. section Documentation).

Internet Information Services (IIS)

Le module WebDAV du serveur IIS est ciblé par l'un des codes d'exploitation qui permet d'obtenir une exécution de code arbitraire à distance avec les privilèges SYSTEM.

Le 13 juin 2017, Microsoft a publié un correctif pour cette vulnérabilité exploitée par le code d'attaque EXPLODINGCAN (cf. section Documentation).

Recommandations

Bien que des systèmes comme Microsoft Windows XP et Windows Server 2003 ne sont plus maintenus depuis plusieurs années, force est de constater que leur présence dans les parcs informatiques est toujours non négligeable. Avec la mise à disposition publique de plus en plus de codes d'exploitation ciblant ces systèmes obsolètes, les risques augmentent en conséquence, en particulier pour les systèmes accessibles sur internet.

Même s'il est possible de tenter de réduire la surface d'attaque en filtrant les communications vers les services vulnérables ou en les désactivant, il faut considérer que, d'une manière générale, les systèmes en fin de vie donnent aux attaquants un moyen d'accès ou de déplacement latéral à moindre coût.

Les mesures de sécurité compensatoires devront donc être évaluées et les risques résiduels formellement acceptés.

Le CERT-FR insiste sur l'importance de migrer vers des versions maintenues et à jour par les éditeurs (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Microsoft Windows XP et Windows Server 2003, tous services packs confondus

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft Windows XP et Windows Server 2003, tous services  packs confondus\u003c/P\u003e",
  "closed_at": "2017-09-06",
  "content": "## Description\n\nLe 14 avril 2017, le groupe d\u0027attaquants Shadowbrokers a publi\u00e9 une\nnouvelle archive contenant des outils offensifs.  \nParmi ceux-ci se trouvent des codes permettant d\u0027exploiter :\n\n## Remote Desktop Protocol (RDP)\n\nUn code permet l\u0027exploitation d\u0027une vuln\u00e9rabilit\u00e9 accessible par le\nservice Remote Desktop Protocol.  \n\nLe composant affect\u00e9 correspond au service d\u0027authentification par carte\n\u00e0 puce, expos\u00e9 via l\u0027extension RDP Smart Card Virtual Channel. Quand les\nmachines sont membres d\u0027un domaine Active Directory, ce composant est\nactiv\u00e9 par d\u00e9faut et accessible via le protocole RDP (port TCP 3389).\n\nLa vuln\u00e9rabilit\u00e9 est pr\u00e9sente m\u00eame si l\u0027authentification par carte \u00e0\npuce n\u0027est pas utilis\u00e9e. Le code d\u0027attaque disponible publiquement\npermet d\u0027obtenir une ex\u00e9cution de code arbitraire \u00e0 distance avec les\nprivil\u00e8ges SYSTEM.  \n\nLe CERT-FR recommande de filtrer l\u0027acc\u00e8s au service RDP (port TCP 3389),\nque les machines soient accessibles ou non sur internet, afin que seules\ndes machines de confiance puissent s\u0027y connecter. De mani\u00e8re plus\ng\u00e9n\u00e9rale, le CERT-FR d\u00e9conseille l\u0027utilisation de syst\u00e8mes en fin de vie\n(cf. section Documentation).\n\nIl existe toutefois une mesure de contournement efficace et simple \u00e0\nimpl\u00e9menter. La cl\u00e9 de registre suivante est pr\u00e9sente par d\u00e9faut dans\ntoutes les versions de Windows XP et Windows Server 2003 :\n\n-   \\\\HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Cryptography\\\\Defaults\\\\Provider\\\\Gemplus\n    GemSAFE Card CSP v1.0.\n\nSupprimer celle-ci rend l\u0027exploitation de cette vuln\u00e9rabilit\u00e9\nimpossible. Elle implique cependant un effet de bord car la suppression\nde cette cl\u00e9 de registre emp\u00eache l\u0027utilisation de lecteurs de cartes\nutilisant les pilotes Gemalto.\n\nLe 13 juin 2017, Microsoft a publi\u00e9 un correctif pour cette\nvuln\u00e9rabilit\u00e9 exploit\u00e9e par le code d\u0027attaque ESTEEMAUDIT (cf. section\nDocumentation).\n\n## Microsoft Server Message Block (SMB)\n\nPlusieurs codes d\u0027exploitation ciblent le serveur SMB de Windows et\npermettent une ex\u00e9cution de code arbitraire \u00e0 distance avec des\nprivil\u00e8ges \u00e9lev\u00e9s (noyau).\n\nLe 12 mai 2017, l\u0027une des vuln\u00e9rabilit\u00e9s SMB a \u00e9t\u00e9 exploit\u00e9e dans le\ncadre d\u0027une campagne de propagation de ran\u00e7ongiciels (cf. section\nDocumentation). Au vu de l\u0027ampleur de la menace et \u00e0 titre exceptionnel,\nMicrosoft a publi\u00e9 un correctif de s\u00e9curit\u00e9 (cf. section Documentation)\npour des syst\u00e8mes qui ne sont plus maintenus depuis de nombreux mois,\nvoire plusieurs ann\u00e9es.\n\nL\u0027exploitation av\u00e9r\u00e9e \u00e0 grande \u00e9chelle de cette vuln\u00e9rabilit\u00e9 rend\nd\u0027autant plus critique l\u0027installation des correctifs dans les plus brefs\nd\u00e9lais et la migration des syst\u00e8mes obsol\u00e8tes.\n\n## Microsoft Exchange\n\nL\u0027un des codes permet d\u0027obtenir une ex\u00e9cution de code \u00e0 distance sur les\nversions de Microsoft Exchange 2007 et ant\u00e9rieures.\n\nLe 13 juin 2017, Microsoft a publi\u00e9 un correctif pour cette\nvuln\u00e9rabilit\u00e9 exploit\u00e9e par le code d\u0027attaque ENGLISHMANDENTIST (cf.\nsection Documentation).\n\n## Internet Information Services (IIS)\n\nLe module WebDAV du serveur IIS est cibl\u00e9 par l\u0027un des codes\nd\u0027exploitation qui permet d\u0027obtenir une ex\u00e9cution de code arbitraire \u00e0\ndistance avec les privil\u00e8ges SYSTEM.\n\nLe 13 juin 2017, Microsoft a publi\u00e9 un correctif pour cette\nvuln\u00e9rabilit\u00e9 exploit\u00e9e par le code d\u0027attaque EXPLODINGCAN (cf. section\nDocumentation).\n\n## Recommandations\n\nBien que des syst\u00e8mes comme Microsoft Windows XP et Windows Server 2003\nne sont plus maintenus depuis plusieurs ann\u00e9es, force est de constater\nque leur pr\u00e9sence dans les parcs informatiques est toujours non\nn\u00e9gligeable. Avec la mise \u00e0 disposition publique de plus en plus de\ncodes d\u0027exploitation ciblant ces syst\u00e8mes obsol\u00e8tes, les risques\naugmentent en cons\u00e9quence, en particulier pour les syst\u00e8mes accessibles\nsur internet.\n\nM\u00eame s\u0027il est possible de tenter de r\u00e9duire la surface d\u0027attaque en\nfiltrant les communications vers les services vuln\u00e9rables ou en les\nd\u00e9sactivant, il faut consid\u00e9rer que, d\u0027une mani\u00e8re g\u00e9n\u00e9rale, les\nsyst\u00e8mes en fin de vie donnent aux attaquants un moyen d\u0027acc\u00e8s ou de\nd\u00e9placement lat\u00e9ral \u00e0 moindre co\u00fbt.  \n\nLes mesures de s\u00e9curit\u00e9 compensatoires devront donc \u00eatre \u00e9valu\u00e9es et les\nrisques r\u00e9siduels formellement accept\u00e9s.\n\nLe CERT-FR insiste sur l\u0027importance de migrer vers des versions\nmaintenues et \u00e0 jour par les \u00e9diteurs (cf. section Documentation).  \n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2017-AVI-181",
      "url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-181/index.html"
    },
    {
      "title": "Les syst\u00e8mes et logiciels obsol\u00e8tes",
      "url": "http://www.cert.ssi.gouv.fr/site/CERTA-2005-INF-003/index.html"
    },
    {
      "title": "Avis CERT-FR CERTFR-2017-AVI-154",
      "url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-154/index.html"
    },
    {
      "title": "Alerte CERT-FR CERTFR-2017-ALE-010",
      "url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html"
    }
  ],
  "reference": "CERTFR-2017-ALE-008",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2017-04-14T00:00:00.000000"
    },
    {
      "description": "extension de l\u0027alerte \u00e0 d\u0027autres composants vuln\u00e9rables.",
      "revision_date": "2017-04-19T00:00:00.000000"
    },
    {
      "description": "mise \u00e0 jour de l\u0027alerte pour tenir compte de la campagne de propagation de ran\u00e7ongiciels via une vuln\u00e9rabilit\u00e9 SMB.",
      "revision_date": "2017-05-15T00:00:00.000000"
    },
    {
      "description": "ajout d\u0027une mesure de contournement pour le code d\u0027attaque \u003cSPAN class=\"textit\"\u003eESTEEMAUDIT\u003c/SPAN\u003e affectant le protocole RDP.",
      "revision_date": "2017-05-31T00:00:00.000000"
    },
    {
      "description": "mise \u00e0 jour de l\u0027alerte pour tenir compte des correctifs publi\u00e9s par Microsoft concernant les codes d\u0027attaque \u003cSPAN class=\"textit\"\u003eESTEEMAUDIT\u003c/SPAN\u003e, \u003cSPAN class= \"textit\"\u003eEXPLODINGCAN\u003c/SPAN\u003e et \u003cSPAN class= \"textit\"\u003eENGLISHMANDENTIST\u003c/SPAN\u003e.",
      "revision_date": "2017-06-14T00:00:00.000000"
    },
    {
      "description": "cl\u00f4ture de l\u0027alerte.",
      "revision_date": "2017-09-06T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan\nclass=\"textit\"\u003eWindows XP et Windows Server 2003\u003c/span\u003e. Elles\npermettent \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire\n\u00e0 distance et une \u00e9l\u00e9vation de privil\u00e8ges.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Windows XP et Windows Server 2003",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.