CERTA-2002-AVI-213

Vulnerability from certfr_avis - Published: - Updated:

Un utilisateur mal intentionné peut exploiter deux vulnérabilités du protocole RDP pour récupérer des informations ou pour provoquer un déni de service.

Description

RDP est un protocole utilisé par les systèmes Windows pour établir des sessions entre un client et un terminal distant.

La première vulnérabilité concerne le chiffrement des sessions RDP. Même si celles-ci sont chiffrées, les empreintes (checksums) des données sont envoyées en clair sur le réseau.

Il est alors possible pour un utilisateur mal intentionné, pouvant écouter le réseau, de décrypter l'intégralité de la session.

La deuxième vulnérabilité ne concerne que l'implémentation du protocole RDP sur les systèmes Windows 2000. Elle se situe au niveau du traitement des paquets de données.

Un utilisateur mal intentionné peut envoyer des paquets malicieusement forgés pour provoquer l'arrêt brutal du service Remote Desktop, et avec lui, l'arrêt du système.

Cette vulnérabilité peut être exploitée sans authentification préalable.

Contournement provisoire

Pour se protéger contre une attaque venant de l'extérieur exploitant la deuxième vulnérabilité, il est recommandé de filtrer le port 3389 (TCP et UDP) sur les pare-feux.

Solution

Appliquer le correctif founi par l'éditeur (cf. section Documentation).

Microsoft Windows 2000 et Windows XP.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft Windows 2000 et Windows XP.\u003c/P\u003e",
  "content": "## Description\n\nRDP est un protocole utilis\u00e9 par les syst\u00e8mes Windows pour \u00e9tablir des\nsessions entre un client et un terminal distant.  \n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 concerne le chiffrement des sessions RDP. M\u00eame\nsi celles-ci sont chiffr\u00e9es, les empreintes (checksums) des donn\u00e9es sont\nenvoy\u00e9es en clair sur le r\u00e9seau.\n\nIl est alors possible pour un utilisateur mal intentionn\u00e9, pouvant\n\u00e9couter le r\u00e9seau, de d\u00e9crypter l\u0027int\u00e9gralit\u00e9 de la session.  \n\nLa deuxi\u00e8me vuln\u00e9rabilit\u00e9 ne concerne que l\u0027impl\u00e9mentation du protocole\nRDP sur les syst\u00e8mes Windows 2000. Elle se situe au niveau du traitement\ndes paquets de donn\u00e9es.\n\nUn utilisateur mal intentionn\u00e9 peut envoyer des paquets malicieusement\nforg\u00e9s pour provoquer l\u0027arr\u00eat brutal du service Remote Desktop, et avec\nlui, l\u0027arr\u00eat du syst\u00e8me.\n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e sans authentification pr\u00e9alable.\n\n## Contournement provisoire\n\nPour se prot\u00e9ger contre une attaque venant de l\u0027ext\u00e9rieur exploitant la\ndeuxi\u00e8me vuln\u00e9rabilit\u00e9, il est recommand\u00e9 de filtrer le port 3389 (TCP\net UDP) sur les pare-feux.\n\n## Solution\n\nAppliquer le correctif founi par l\u0027\u00e9diteur (cf. section Documentation).\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-213",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-09-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Divulgation d\u0027informations"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut exploiter deux vuln\u00e9rabilit\u00e9s du\nprotocole RDP pour r\u00e9cup\u00e9rer des informations ou pour provoquer un d\u00e9ni\nde service.\n",
  "title": "Vuln\u00e9rabilit\u00e9 du protocole RDP dans les syst\u00e8mes Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS02-051",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS02-051.asp"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.