La faille du RDP de Windows déjà exploitée à cause d'une fuite
Un exécutable compilé... en novembre
La semaine dernière, nous vous indiquions qu’une faille de sécurité affectait le protocole Remote Desktop de Windows et qu’elle était critique. Bien qu’un correctif ait été publié lors des bulletins mensuels de ce mois-ci, l’éditeur enjoignait les utilisateurs à l’installer le plus rapidement possible. Il craignait une exploitation rapide et ne croyait pas si bien dire : un proof-of-concept se balade déjà dans la nature.
Microsoft indiquait la semaine dernière que la faille avait un profil particulièrement séduisant pour les pirates. De fait, la firme estimait qu’une exploitation verrait le jour dans le mois à venir. Mais Luigi Auriemma, le chercheur en sécurité italien qui a fait la découverte, a averti que les détails de sa trouvaille, ainsi que le code du proof-of-concept qu’il avait rédigé, ont tous deux fuité. En clair, la procédure d’exploitation de la faille est sur la toile, et n’importe quel pirate peut désormais s’en servir.
Auriemma comptait attendre quelques jours avant de publier les explications complètes mais a eu la surprise de découvrir qu’un exécutable bien spécifique trainait sur un site chinois. Après avoir fouillé dans cet exécutable, il a découvert que le code, compilé en novembre, était basé sur des paquets préconstruits qui ne lui étaient pas inconnus : les siens. Il décrit le code de l’exécutable comme « basique et mal écrit », mais fonctionnel, et la présence de ces paquets ne pouvait signifier qu’une fuite.
En définitive, Microsoft a confirmé vendredi que la fuite est venue de l’un des partenaires du MAPP. La firme rappelle que ces partenaires reçoivent des informations sensibles sur les failles avant que les bulletins ne soient publiés. On y trouve en effet bon nombre d’éditeurs de solutions de sécurité tels que McAfee, Symantec ou encore Kaspersky, le but étant que les antivirus soient prêts.
Microsoft indique donc qu’une enquête va être menée car si une fuite existe dans le réseau des partenaires MAPP, la situation est particulièrement dangereuse. Cela ne répond pas cependant à toutes les questions pour Luigi Auriemma. Le chercheur sait que les failles sont révélées plus tôt aux partenaires mais il doute que ce soit plusieurs mois à l’avance, puisque le fameux exécutable avait été compilé en novembre.
Une question restera finalement en suspens : l'avertissement de Microsoft sur la dangerosité particulière de la faille aurait-il pris racine dans la connaissance d'une exploitation déjà existante ?
La faille séduisante... qui a déjà séduit
La faille du protocole Remote Desktop est critique car elle permet une attaque automatisée et distante. La création d’un ver peut suffire et, une fois en place, la bestiole peut se répliquer tant qu’elle trouve des machines laissant la brèche de sécurité exposée. Le seul constat temporisant la situation est que le RDP n’est pas actif par défaut dans Windows. Par contre, toutes les versions de ce dernier le possèdent, de Windows XP à la Consumer Preview de Windows 8.Microsoft indiquait la semaine dernière que la faille avait un profil particulièrement séduisant pour les pirates. De fait, la firme estimait qu’une exploitation verrait le jour dans le mois à venir. Mais Luigi Auriemma, le chercheur en sécurité italien qui a fait la découverte, a averti que les détails de sa trouvaille, ainsi que le code du proof-of-concept qu’il avait rédigé, ont tous deux fuité. En clair, la procédure d’exploitation de la faille est sur la toile, et n’importe quel pirate peut désormais s’en servir.
Une faille découverte en mai 2011
Luigi Auriemma explique sur son blog qu’il a trouvé cette faille en mai 2011, soit il y a presque un an. Les détails ont été envoyés à Microsoft au mois d’août, via ZDI (Zero Day Initiative) de la société Tipping Point (appartenant à HP). Tout allait bien jusqu’à la publication le 13 mars des derniers bulletins de sécurité. Le chercheur s’est alors « amusé » à observer les évènements pour voir si un pirate arrivait à trouver une manière d’exploiter la faille maintenant qu’elle était révélée au grand jour.Auriemma comptait attendre quelques jours avant de publier les explications complètes mais a eu la surprise de découvrir qu’un exécutable bien spécifique trainait sur un site chinois. Après avoir fouillé dans cet exécutable, il a découvert que le code, compilé en novembre, était basé sur des paquets préconstruits qui ne lui étaient pas inconnus : les siens. Il décrit le code de l’exécutable comme « basique et mal écrit », mais fonctionnel, et la présence de ces paquets ne pouvait signifier qu’une fuite.
La faute à un partenaire de Microsoft ?
Plusieurs signes prouvent que le paquet était le sien, y compris un numéro d’identification unique dont Microsoft se sert pour le suivi des failles de sécurité. Il s’est donc penché sur la question de l’origine de la fuite. Elle pouvait venir de Microsoft, ou des dizaines de partenaires travaillant avec Redmond au sein du programme MAPP (Microsoft Active Protections Program) qui permet de diffuser des informations de sécurité sur les failles en avance. La fuite pouvait provenir également de la ZDI, puisque c’est elle qui avait transmis les détails à Microsoft en août 2011.En définitive, Microsoft a confirmé vendredi que la fuite est venue de l’un des partenaires du MAPP. La firme rappelle que ces partenaires reçoivent des informations sensibles sur les failles avant que les bulletins ne soient publiés. On y trouve en effet bon nombre d’éditeurs de solutions de sécurité tels que McAfee, Symantec ou encore Kaspersky, le but étant que les antivirus soient prêts.
Microsoft indique donc qu’une enquête va être menée car si une fuite existe dans le réseau des partenaires MAPP, la situation est particulièrement dangereuse. Cela ne répond pas cependant à toutes les questions pour Luigi Auriemma. Le chercheur sait que les failles sont révélées plus tôt aux partenaires mais il doute que ce soit plusieurs mois à l’avance, puisque le fameux exécutable avait été compilé en novembre.
Une question restera finalement en suspens : l'avertissement de Microsoft sur la dangerosité particulière de la faille aurait-il pris racine dans la connaissance d'une exploitation déjà existante ?
Source :
Luigi Auriemma
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 19 mars 2012 à 16:23
(21 562
lectures)
Il y a 43 commentaires
INpactien
Hello,
elle a été réparée cette faille ? j'ai fait un windows update après l'annonce de la 1ere news, qui annoncait un correctif pour des failles de sécurité (après avoir lu en diagonale j'ai supposé qu'il s'agissait de la faille rdp).
mais du coup j'ai un doute vu que c'est pas repris dans la news.
tchuss
oy
elle a été réparée cette faille ? j'ai fait un windows update après l'annonce de la 1ere news, qui annoncait un correctif pour des failles de sécurité (après avoir lu en diagonale j'ai supposé qu'il s'agissait de la faille rdp).
mais du coup j'ai un doute vu que c'est pas repris dans la news.
tchuss
oy
INpactien
Moi ce qui me choque le plus c'est que microsoft a laisser un trou énorme dans la quasi totalité des serveurs sous windows server pendant des mois (de Aout à Mars)...
Edité par animehq le lundi 19 mars 2012 à 16:35
Edité par animehq le lundi 19 mars 2012 à 16:35
INpactien
Bievenue chez Crosoft 
Si le RDP est désactivé (ce qui n'est pas le cas sur les serveurs) est-ce cette faille est utilisable ?
Si le RDP est désactivé (ce qui n'est pas le cas sur les serveurs) est-ce cette faille est utilisable ?
Equipe
Bievenue chez Crosoft
Si le RDP est désactivé (ce qui n'est pas le cas sur les serveurs) est-ce cette faille est utilisable ?
Si le RDP est désactivé (ce qui n'est pas le cas sur les serveurs) est-ce cette faille est utilisable ?
Non.
INpactien
Hello,
elle a été réparée cette faille ? j'ai fait un windows update après l'annonce de la 1ere news, qui annoncait un correctif pour des failles de sécurité (après avoir lu en diagonale j'ai supposé qu'il s'agissait de la faille rdp).
mais du coup j'ai un doute vu que c'est pas repris dans la news.
tchuss
oy
elle a été réparée cette faille ? j'ai fait un windows update après l'annonce de la 1ere news, qui annoncait un correctif pour des failles de sécurité (après avoir lu en diagonale j'ai supposé qu'il s'agissait de la faille rdp).
mais du coup j'ai un doute vu que c'est pas repris dans la news.
tchuss
oy
INpactien
le lien chinois ! le lien chinois ! 
INpactien
Non.
Ok donc Microsoft à laisser une grosse faille pour les entreprises ...
Super le temps de réaction
Comme d'hab pour Microsoft : a la maison oui pourquoi pas mais en entreprise jamais !
INpactien
Comme d'hab pour Microsoft : a la maison oui pourquoi pas mais en entreprise jamais !
Ou l'inverse
INpactien
La faille du RDP de Windows déjà exploitée à cause d'une fuite
Elle n'est pas réellement exploitée encore, pour l'instant les seuls poc permettent de faire crasher la machine, pas de l'exploiter.
INpactien
Oui, la semaine dernière avec un update qui nécessite le redémarrage de la machine (du moins sur les versions desktop)
pour la version server aussi, je te rassure (parce qu'on peut redémarrer un serveur n'importe quand, c'est bien connu)
Edité par werewindle le lundi 19 mars 2012 à 17:03
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
SimCity, Les Sims 3 et le DLC Saisons pour 59,99 €
Valable jusqu'au 29 mai -
Une Xbox 360 de 4 Go offerte pour l'achat d'un portable ASUS Vivobook
Valable jusqu'au 26 mai -
Une console de jeux Sony PS Vita Wi-Fi pour 196,10 €
Valable jusqu'au 26 mai -
Un clavier Logitech G105 et une souris filaire G9x : 70,16 €
Valable jusqu'au 26 mai
