BlueKeep a ouvert les vannes pour de nouvelles attaques. ESET met à disposition un outil permettant de vérifier la vulnérabilité des systèmes Windows.

ESET met à disposition gratuitement l’outil ESETBlueKeep (CVE-2019-0708). Celui-ci permet de vérifier la vulnérabilité de vos systèmes contre l’exploitation de cette faille. Les attaques sur les services RDP exposés directement sur Internet s’effectuent par force brute ou par l’exploitation de vulnérabilités. BlueKeep en est une, permettant ainsi aux pirates de mener des actions malveillantes à grande échelle.

«La vulnérabilité BlueKeep n’a, pour le moment, pas déclenché de dégâts considérables. Toutefois, elle n’en est encore qu’au tout début de son cycle de vie d’exploitation, explique Aryeh Goretsky, chercheur chez ESET. De nombreux systèmes d’exploitation ne sont toujours pas correctement protégés. Et nous ne sommes pas à l’abri de trouver une version se comportant comme un ver.»

Le protocole RDP, porte d’entrée

Le protocole RDP permet de se connecter à une machine, elle-même potentiellement connectée au réseau de l’entreprise, donnant accès à ce réseau à distance. Ces deux dernières années, ESET a observé une augmentation des incidents au cours desquels les pirates se sont connectés à distance à un serveur Windows depuis Internet via le protocole RDP. Les pirates, une fois connectés en tant qu’administrateur, peuvent alors exécuter des actions malveillantes. Ils peuvent par exemple télécharger et installer des programmes sur le serveur, désactiver les logiciels de sécurité ou exfiltrer des données du serveur.

Bien que les pirates puissent effectuer toutes sortes d’actions, l’installation de programmes de cryptomining, en vue de générer de la cryptomonnaie, et l’installation de ransomwares, pour extorquer de l’argent à l’entreprise, sont les deux pratiques les plus courantes.

Plus haut niveau de sévérité critique

«Les attaques utilisant le protocole RDP sont en progression lente, mais constante. Elles ont fait l’objet de plusieurs signalements par les autorités officielles aux États-Unis, au Royaume-Uni, au Canada et en Australie, explique Aryeh Goretsky. L’arrivée de BlueKeep a ouvert les vannes pour de nouvelles attaques. Cette vulnérabilité pourrait muter. Elle pourrait se comporter comme un ver. Du coup, une attaque pourrait se propager automatiquement à travers les réseaux sans intervention des utilisateurs», prévient-il.

Microsoft a attribué à BlueKeep son plus haut niveau de sévérité critique dans ses instructions pour les clients  et le gouvernement américain. Dans la base de données National Vulnerability Database, l’éditeur lui a attribué un score de 9,8 sur 10 à la vulnérabilité CVE-2019-0708.

«Les utilisateurs ne devraient plus se connecter directement à leurs serveurs en ligne avec le protocole RDP. Il est possible que cela pose problème à certaines entreprises. Toutefois, avec l’arrêt de la prise en charge du support de Windows Server 2008 et Windows 7 en janvier 2020, l’exécution de ces programmes représente un véritable risque que vous devriez dès maintenant chercher à atténuer», recommande Aryeh Goretsky.