S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

La faille du RDP de Windows déjà exploitée à cause d'une fuite

Un exécutable compilé... en novembre

La semaine dernière, nous vous indiquions qu’une faille de sécurité affectait le protocole Remote Desktop de Windows et qu’elle était critique. Bien qu’un correctif ait été publié lors des bulletins mensuels de ce mois-ci, l’éditeur enjoignait les utilisateurs à l’installer le plus rapidement possible. Il craignait une exploitation rapide et ne croyait pas si bien dire : un proof-of-concept se balade déjà dans la nature.

windows update

La faille séduisante... qui a déjà séduit

La faille du protocole Remote Desktop est critique car elle permet une attaque automatisée et distante. La création d’un ver peut suffire et, une fois en place, la bestiole peut se répliquer tant qu’elle trouve des machines laissant la brèche de sécurité exposée. Le seul constat temporisant la situation est que le RDP n’est pas actif par défaut dans Windows. Par contre, toutes les versions de ce dernier le possèdent, de Windows XP à la Consumer Preview de Windows 8.

Microsoft indiquait la semaine dernière que la faille avait un profil particulièrement séduisant pour les pirates. De fait, la firme estimait qu’une exploitation verrait le jour dans le mois à venir. Mais Luigi Auriemma, le chercheur en sécurité italien qui a fait la découverte, a averti que les détails de sa trouvaille, ainsi que le code du proof-of-concept qu’il avait rédigé, ont tous deux fuité. En clair, la procédure d’exploitation de la faille est sur la toile, et n’importe quel pirate peut désormais s’en servir.

Une faille découverte en mai 2011

Luigi Auriemma explique sur son blog qu’il a trouvé cette faille en mai 2011, soit il y a presque un an. Les détails ont été envoyés à Microsoft au mois d’août, via ZDI (Zero Day Initiative) de la société Tipping Point (appartenant à HP). Tout allait bien jusqu’à la publication le 13 mars des derniers bulletins de sécurité. Le chercheur s’est alors « amusé » à observer les évènements pour voir si un pirate arrivait à trouver une manière d’exploiter la faille maintenant qu’elle était révélée au grand jour.

Auriemma comptait attendre quelques jours avant de publier les explications complètes mais a eu la surprise de découvrir qu’un exécutable bien spécifique trainait sur un site chinois. Après avoir fouillé dans cet exécutable, il a découvert que le code, compilé en novembre, était basé sur des paquets préconstruits qui ne lui étaient pas inconnus : les siens. Il décrit le code de l’exécutable comme « basique et mal écrit », mais fonctionnel, et la présence de ces paquets ne pouvait signifier qu’une fuite.

La faute à un partenaire de Microsoft ?

Plusieurs signes prouvent que le paquet était le sien, y compris un numéro d’identification unique dont Microsoft se sert pour le suivi des failles de sécurité. Il s’est donc penché sur la question de l’origine de la fuite. Elle pouvait venir de Microsoft, ou des dizaines de partenaires travaillant avec Redmond au sein du programme MAPP (Microsoft Active Protections Program) qui permet de diffuser des informations de sécurité sur les failles en avance. La fuite pouvait provenir également de la ZDI, puisque c’est elle qui avait transmis les détails à Microsoft en août 2011.

En définitive, Microsoft a confirmé vendredi que la fuite est venue de l’un des partenaires du MAPP. La firme rappelle que ces partenaires reçoivent des informations sensibles sur les failles avant que les bulletins ne soient publiés. On y trouve en effet bon nombre d’éditeurs de solutions de sécurité tels que McAfee, Symantec ou encore Kaspersky, le but étant que les antivirus soient prêts.

Microsoft indique donc qu’une enquête va être menée car si une fuite existe dans le réseau des partenaires MAPP, la situation est particulièrement dangereuse. Cela ne répond pas cependant à toutes les questions pour Luigi Auriemma. Le chercheur sait que les failles sont révélées plus tôt aux partenaires mais il doute que ce soit plusieurs mois à l’avance, puisque le fameux exécutable avait été compilé en novembre.
 
Une question restera finalement en suspens : l'avertissement de Microsoft sur la dangerosité particulière de la faille aurait-il pris racine dans la connaissance d'une exploitation déjà existante ?
Source : Luigi Auriemma
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/03/2012 à 16:23

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 43 commentaires

Avatar de rdz-oliv INpactien
rdz-oliv Le lundi 19 mars 2012 à 16:33:36
Inscrit le vendredi 17 juin 11 - 7 commentaires
Hello,
elle a été réparée cette faille ? j'ai fait un windows update après l'annonce de la 1ere news, qui annoncait un correctif pour des failles de sécurité (après avoir lu en diagonale j'ai supposé qu'il s'agissait de la faille rdp).
mais du coup j'ai un doute vu que c'est pas repris dans la news.

tchuss
oy
Avatar de animehq INpactien
animehq Le lundi 19 mars 2012 à 16:34:42
Inscrit le mardi 11 avril 06 - 5642 commentaires
Moi ce qui me choque le plus c'est que microsoft a laisser un trou énorme dans la quasi totalité des serveurs sous windows server pendant des mois (de Aout à Mars)...

Edité par animehq le lundi 19 mars 2012 à 16:35
Avatar de FedoLFS INpactien
FedoLFS Le lundi 19 mars 2012 à 16:40:40
Inscrit le lundi 19 mars 12 - 15 commentaires
Bievenue chez Crosoft

Si le RDP est désactivé (ce qui n'est pas le cas sur les serveurs) est-ce cette faille est utilisable ?
Avatar de Vincent_H Equipe
Vincent_H Le lundi 19 mars 2012 à 16:43:15
Inscrit le jeudi 30 janvier 03 - 15419 commentaires
Bievenue chez Crosoft

Si le RDP est désactivé (ce qui n'est pas le cas sur les serveurs) est-ce cette faille est utilisable ?


Non.
Avatar de kwak-kwak INpactien
kwak-kwak Le lundi 19 mars 2012 à 16:43:43
Inscrit le jeudi 27 mai 10 - 1983 commentaires
Hello,
elle a été réparée cette faille ? j'ai fait un windows update après l'annonce de la 1ere news, qui annoncait un correctif pour des failles de sécurité (après avoir lu en diagonale j'ai supposé qu'il s'agissait de la faille rdp).
mais du coup j'ai un doute vu que c'est pas repris dans la news.

tchuss
oy
Oui, la semaine dernière avec un update qui nécessite le redémarrage de la machine (du moins sur les versions desktop)
Avatar de LordZurp INpactien
LordZurp Le lundi 19 mars 2012 à 16:47:04
Inscrit le lundi 22 décembre 03 - 393 commentaires
le lien chinois ! le lien chinois !
Avatar de FedoLFS INpactien
FedoLFS Le lundi 19 mars 2012 à 16:50:15
Inscrit le lundi 19 mars 12 - 15 commentaires


Ok donc Microsoft à laisser une grosse faille pour les entreprises ...
Super le temps de réaction

Comme d'hab pour Microsoft : a la maison oui pourquoi pas mais en entreprise jamais !
Avatar de -Fred- INpactien
-Fred- Le lundi 19 mars 2012 à 17:02:29
Inscrit le mardi 2 août 05 - 31 commentaires
Comme d'hab pour Microsoft : a la maison oui pourquoi pas mais en entreprise jamais !

Ou l'inverse
Avatar de neves INpactien
neves Le lundi 19 mars 2012 à 17:02:43
Inscrit le samedi 9 octobre 04 - 2578 commentaires
La faille du RDP de Windows déjà exploitée à cause d'une fuite


Elle n'est pas réellement exploitée encore, pour l'instant les seuls poc permettent de faire crasher la machine, pas de l'exploiter.
Avatar de WereWindle INpactien
WereWindle Le lundi 19 mars 2012 à 17:03:00
Inscrit le mercredi 2 avril 08 - 5753 commentaires
Oui, la semaine dernière avec un update qui nécessite le redémarrage de la machine (du moins sur les versions desktop)

pour la version server aussi, je te rassure (parce qu'on peut redémarrer un serveur n'importe quand, c'est bien connu)

Edité par werewindle le lundi 19 mars 2012 à 17:03
;