Esteemaudit : une zero day sur RDP de Windows XP et 2003 inquiète

Jacques Cheminat,

Dans le portefeuille de la NSA, il y a aussi Esteemaudit, une faille critique dans RDP qui n’a pas été corrigée par Microsoft. Mais un tiers propose un correctif.

La dernière livraison des Shadow Brokers au mois d’avril dernier n’en finit pas de donner des sueurs froides aux responsables de sécurité des entreprises, mais aussi des éditeurs de logiciel. Au premier rang desquels on retrouve Microsoft. Il y a 2 semaines, le monde découvrait WannaCry, un ransomware basé sur la faille dans SMB de Windows. Doté d’un ver, sa propagation a été très rapide.

Aujourd’hui, les experts en sécurité s’inquiètent d’un autre exploit de la trousse à outils de la NSA, Esteemaudit. Il s’agit d’une faille zero day dans le protocole RDP utilisé par Windows XP et Server 2003 pour ouvrir des sessions à distance sur des PC. L’analyse de cet exploit montre qu’il vise le port 3389 et peut-être associé à un ver pour se propager au sein du réseau.

Le hic est que Microsoft n’a pas corrigé cette vulnérabilité. Ne touchant que Windows XP et Server 2003, l’éditeur ne supporte plus les correctifs de sécurité sur ces plateformes depuis 2014 et 2015. La firme américaine a fait une exception sur WannaCry et la faille Eternalblue pour éviter un chaos technique dans plusieurs entreprises. Etseemaudit n’est pas le seul exploit de la NSA à ne pas voir reçu de patch. Englishmandentist et Explodingscan sont également démunis.

Un patch développé par un éditeur tiers

En l’absence de réaction de la part de Microsoft, un éditeur tiers, EnSilo a décidé de corriger la faille dans RDP d’Esteemaudit. Ce correctif fonctionne sur Windows XP SP3 x86, Windows XP SP3 x64 et Windows Server 2003 R2. A chaque session, Windows va créer une nouvelle instance d’authentification (winlogon). Le patch va être chargé dans winlogon.exe (seulement s’il s’agit d’une session RDP) et s’exécute en tant que patch mémoire (hotpatching) sur Esteemaudit. Une autre technique alternative à celle d’EnSilo est de désactiver manuellement RDP.

Les spécialistes de la sécurité conseillent d’appliquer rapidement ce patch, car les deux systèmes d’exploitation restent encore très populaires au sein des entreprises. XP reste le 3ème OS utilisé dans le monde avec 7% de part de marché. Windows Server 2003 est toujours présent sur 18% des entreprises dans le monde soit 600 000 machines, hébergeant 75 millions de sites web.

A lire aussi :

WannaCry : autopsie du ransomware 2.0, boosté par les exploits de la NSA

WindsorGreen : les plans du casseur de chiffrement de la NSA en libre accès