La dernière livraison des Shadow Brokers au mois d’avril dernier n’en finit pas de donner des sueurs froides aux responsables de sécurité des entreprises, mais aussi des éditeurs de logiciel. Au premier rang desquels on retrouve Microsoft. Il y a 2 semaines, le monde découvrait WannaCry, un ransomware basé sur la faille dans SMB de Windows. Doté d’un ver, sa propagation a été très rapide.
Aujourd’hui, les experts en sécurité s’inquiètent d’un autre exploit de la trousse à outils de la NSA, Esteemaudit. Il s’agit d’une faille zero day dans le protocole RDP utilisé par Windows XP et Server 2003 pour ouvrir des sessions à distance sur des PC. L’analyse de cet exploit montre qu’il vise le port 3389 et peut-être associé à un ver pour se propager au sein du réseau.
Le hic est que Microsoft n’a pas corrigé cette vulnérabilité. Ne touchant que Windows XP et Server 2003, l’éditeur ne supporte plus les correctifs de sécurité sur ces plateformes depuis 2014 et 2015. La firme américaine a fait une exception sur WannaCry et la faille Eternalblue pour éviter un chaos technique dans plusieurs entreprises. Etseemaudit n’est pas le seul exploit de la NSA à ne pas voir reçu de patch. Englishmandentist et Explodingscan sont également démunis.
En l’absence de réaction de la part de Microsoft, un éditeur tiers, EnSilo a décidé de corriger la faille dans RDP d’Esteemaudit. Ce correctif fonctionne sur Windows XP SP3 x86, Windows XP SP3 x64 et Windows Server 2003 R2. A chaque session, Windows va créer une nouvelle instance d’authentification (winlogon). Le patch va être chargé dans winlogon.exe (seulement s’il s’agit d’une session RDP) et s’exécute en tant que patch mémoire (hotpatching) sur Esteemaudit. Une autre technique alternative à celle d’EnSilo est de désactiver manuellement RDP.
Les spécialistes de la sécurité conseillent d’appliquer rapidement ce patch, car les deux systèmes d’exploitation restent encore très populaires au sein des entreprises. XP reste le 3ème OS utilisé dans le monde avec 7% de part de marché. Windows Server 2003 est toujours présent sur 18% des entreprises dans le monde soit 600 000 machines, hébergeant 75 millions de sites web.
A lire aussi :
WannaCry : autopsie du ransomware 2.0, boosté par les exploits de la NSA
WindsorGreen : les plans du casseur de chiffrement de la NSA en libre accès
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…