Risque(s)

Exécution de code arbitraire à distance

Systèmes affectés

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Résumé

[Mise à jour du 29 janvier 2020]

Du code d'attaque est désormais disponible publiquement concernant l'exploitation des vulnérabilités CVE-2020-0609 et CVE-2020-0610.

Pour l'instant, le code publique ne permet en l'état qu'un déni de service. Toutefois, il a été annoncé que du code d'attaque permettant une exécution de code arbitraire à distance sera bientôt publié. Cela rendra possible l'exploitation de ces vulnérabilités même à des attaquants d'un faible niveau technique.

Le CERT-FR insiste sur l'importance d'appliquer les correctifs dans les plus brefs délais.

[Version Initiale]

Depuis Microsoft Windows Server 2012, la passerelle d'accès distant Microsoft Remote Desktop Gateway (RD Gateway) intègre par défaut de nouvelles fonctionnalités dénommées RemoteFX améliorant la prise en charge de certains contenus multimédias et également l'optimisation du trafic réseau sur des liaisons de faible capacité. Dénommée RemoteFX for WAN, cette optimisation réseau permet de mettre en oeuvre le protocole RDP sur UDP avec chiffrement DTLS.

La fonction principale de la solution RD Gateway est de cloisonner les flux internes nécessaires au fonctionnement des Remote Desktop Services et de ne présenter que des interfaces HTTPS et DTLS sur Internet.

Le 14 janvier, Microsoft a émis deux avis de sécurité concernant deux vulnérabilités qui permettent une exécution de code à distance sans authentification préalable.

Qu'elle soit exposée sur Internet ou bien située sur une interconnexion du système d'information, une telle passerelle est de par sa fonction exposée. Elle constitue un élément critique de l'architecture d'un réseau et toute vulnérabilité doit donc être corrigée dans les plus brefs délais.

Solution

L'ANSSI recommande d'appliquer les correctifs mis à disposition par Microsoft dans le cadre de son programme Patch Tuesday (en date du 14 janvier) sans délai.

Dans l'éventualité où ces correctifs ne sont pas applicables rapidement, l'ANSSI suggère de désactiver le transport UDP pour le service Remote Desktop Gateway. Par ailleurs, ce mode de transport est voué à améliorer l'expérience utilisateur en cas d'utilisation d'un réseau de faible capacité, par conséquent, si le besoin n'est pas avéré, il est fortement recommandé de désactiver définitivement ce mode de transport.

La désactivation du transport UDP s'applique en passant par les propriétés du serveur RD Gateway :

Dans l'onglet « Transport Parameters », « UDP transport parameters », décocher la case « enable UDP transport »

Dans l'onglet « SSL bridging », décocher « utiliser le SSL bridging », décocher la case « HTTPS-HTTP bridging »

Documentation