Vous vous souvenez de la panique qui a frappé les organisations du monde entier le 12 mai 2017 lorsqu’un nombre quasi-innombrable de machines ont affiché l’une à l’une l'écran de rançon de WannaCryptor? Nous pourrions avoir un incident similaire sur les bras dans les jours, semaines ou mois à venir, à moins que les entreprises ne mettent pas à jour ou ne protègent pas leurs anciens systèmes Windows immédiatement. La raison en est BlueKeep, une vulnérabilité RCE (Remote Code Execution) critique et pouvant servir aux vers dans Remote Desktop Services, qui pourrait bientôt devenir le nouveau vecteur incontournable pour la propagation des logiciels malveillants. Un correctif de Microsoft pour les systèmes d'exploitation supportés et non supportés est disponible depuis le 14 mai.

La vulnérabilité BlueKeep a été trouvée dans Remote Desktop Services (également connu sous le nom de Terminal Services). Si elle est exploitée avec succès dans l'avenir, il pourrait permettre l'accès à l'ordinateur ciblé par une porte dérobée sans qu'aucune authentification ni interaction de l'utilisateur ne soit nécessaire.

Plus grave encore, la vulnérabilité est « wormable ». Cela signifie que les futurs exploits pourraient l'utiliser pour répandre des logiciels malveillants à l'intérieur ou à l'extérieur des réseaux, de la même manière qu’on a pu le voir avec WannaCryptor.

Après la publication de ces derniers correctifs par Microsoft, les chercheurs en sécurité ont pu créer plusieurs preuves de concept fonctionnelles, mais au moment d'écrire ces lignes, aucune d'entre elles n'a été rendue publique et il on n’a observé aucun cas d'exploitation dans la nature de cette faille.

La faille, répertoriée comme CVE-2019-0708, affecte plusieurs versions des systèmes d'exploitation de Microsoft, qu'elles soient prises en charge ou non. Les utilisateurs de Windows 7, Windows Server 2008 R2 et Windows Server 2008 avec mise à jour automatique activée sont protégés. Microsoft a également publié des mises à jour spéciales pour deux versions non prises en charge - à savoir Windows XP et Windows Server 2003 - qui sont disponibles sur cette page. Windows 8 et Windows 10 ne sont pas affectés par la vulnérabilité.

Microsoft n'a pas publié de correctifs pour Windows Vista, bien que cette version soit également affectée par la vulnérabilité. La seule solution est de désactiver complètement le protocole RDP (Remote Desktop Protocol), ou de n'autoriser son utilisation que lorsqu'on y accède par VPN.

Il est important de noter que toute entreprise qui utilise un RDP mal configuré sur Internet met ses utilisateurs et ses ressources en danger. Outre les vulnérabilités telles que BlueKeep, les attaquants tentent également de s'introduire de force dans les machines et les systèmes internes de l'entreprise.

L'affaire BlueKeep ressemble beaucoup aux événements qu’on a vécu il y a deux ans. Le 14 mars 2017, Microsoft a publié des correctifs pour une vulnérabilité wormable dans le protocole SMB (Server Message Block), conseillant à tous les utilisateurs de patcher immédiatement leurs machines sous Windows.

La raison en était l'exploit d'EternalBlue - un outil malveillant prétendument conçu par la National Security Agency (NSA), puis volé - qui visait une faille pour les PME. Un mois plus tard, EternalBlue a été fuité en ligne et est devenu en quelques semaines le véhicule des deux cyberattaques les plus dommageables de l'histoire récente - WannaCry(ptor) et NotPetya (Diskcoder.C).

Un scénario similaire pourrait se produire avec BlueKeep étant donné sa nature wormable. Pour l'instant, ce n'est qu'une question de temps avant que quelqu'un ne publie un exploit fonctionnel ou qu'un auteur de logiciels malveillants commence à en vendre un sur les marchés clandestins. Si cela se produit, il deviendra probablement très populaire parmi les cybercriminels moins qualifiés, en plus de présenter un actif lucratif pour ses créateurs.

BlueKeep permettra également de déterminer si les organisations du monde entier ont appris une leçon, après les grandes campagnes de cyberattaque de 2017, et ont amélioré leur posture de sécurité et leurs routines de correction.

En résumé, il est conseillé aux organisations et aux utilisateurs :

  1. Corrigez, corrigez, corrigez, corrigez. Si vous ou votre organisation utilisez une version prise en charge de Windows, mettez-la à jour avec la dernière version. Si possible, activez les mises à jour automatiques. Si vous utilisez encore Windows XP ou Windows 2003 non pris en charge - pour quelque raison que ce soit - téléchargez et appliquez les correctifs dès que possible.
  2. Désactivez le protocole de bureau à distance (RDP). Bien que RDP ne soit pas lui-même vulnérable, Microsoft conseille aux organisations de le désactiver jusqu'à ce que les derniers correctifs aient été appliqués. De plus, pour minimiser votre surface d'attaque, la RDP ne devrait être activée que sur les périphériques où elle est réellement utilisée et nécessaire.
  3. Configurez le RDP adéquatement. Si votre organisation doit absolument utiliser RDP, évitez de l'exposer à l'Internet public. Seuls les périphériques sur le réseau local, ou accédant via un VPN, devraient pouvoir établir une session à distance. Une autre option consiste à filtrer l'accès RDP à l'aide d'un pare-feu, en ne mettant sur liste blanche qu'une plage IP spécifique. L'authentification multifactorielle peut également améliorer la sécurité de vos sessions à distance.
  4. Activez l'authentification au niveau du réseau (NLA). BlueKeep peut être partiellement atténué par l'activation de la NLA, car elle exige que l'utilisateur s'authentifie avant qu'une session distante ne soit établie et que le défaut ne soit mal utilisé. Cependant, comme le précise Microsoft, « les systèmes concernés sont toujours vulnérables à l'exploitation du RCE (Remote Code Execution) si l'attaquant possède des identifiants valides qui peuvent être utilisés pour s'authentifier avec succès. »
  5. Utilisez une solution de sécurité multicouche fiable qui peut détecter et atténuer les attaques exploitant la faille au niveau du réseau.