CVE-2018-0886 est l'identifiant d'une faille critique trouvée dans Security Support Provider Credential (CredSSP). La vulnérabilité affecte toutes les versions de Windows et permet aux pirates malveillants d'accéder à distance à exploiter RDP (Remote Desktop Protocol) et WinRM (Gestion à distance de Windows).
CVE-2018-0886 – Détails techniques
Après avoir réussi à exploiter, les pirates pourraient exécuter du code malveillant et de voler des données sensibles des systèmes compromis. Le défaut a été révélé par des chercheurs de sécurité Preempt.
"Une vulnérabilité d'exécution de code à distance existe dans le protocole du fournisseur de support de sécurité des titres de compétences (CredSSP). Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait relayer les informations d'identification de l'utilisateur et de les utiliser pour exécuter du code sur le système cible", Microsoft a expliqué.
Il convient de noter que CredSSP est un fournisseur d'authentification qui traite les demandes d'authentification pour d'autres applications. Cela laisse toute application en fonction du CredSSP pour l'authentification vulnérable à une telle attaque.
Comme cela est expliqué par Microsoft dit que:
À titre d'exemple de la façon dont un attaquant d'exploiter cette vulnérabilité contre Remote Desktop Protocol, l'attaquant aurait besoin d'exécuter une application spécialement conçue et exécuter un homme-in-the-middle contre une session Remote Desktop Protocol. Un attaquant pourrait alors installer des programmes; vue, changement, ou supprimer des données; ou créer de nouveaux comptes dotés de tous les privilèges.
Plus précisement, quand un client et un serveur via les protocoles RDP authentifient et WinRM, un homme-in-the-middle peut être lancée. Un tel attaquant serait en mesure d'exécuter des commandes à distance et compromettre ainsi des réseaux entiers. L'exploit de cette vulnérabilité pourrait être très grave selon les réseaux d'entreprise ciblés dans des attaques.
“Un attaquant qui a volé une session d'un utilisateur avec des privilèges suffisants peut exécuter différentes commandes avec des privilèges d'administrateur local. Cela est particulièrement important dans le cas des contrôleurs de domaine, où la plupart des appels de procédure à distance (DCE / RPC) sont activés par défaut,” expliqué Yare, chercheur principal de la sécurité à Preempt, la société de sécurité qui est tombé sur CVE-2018-0886.
Mise à jour qui corrige la vulnérabilité est disponible
Heureusement, un patch de sécurité Prévoit la faille a déjà été libéré. La mise à jour corrige la façon dont CredSSP valide les requêtes au cours du processus d'authentification.
Que les utilisateurs devraient faire pour se protéger de cette attaque? Ils doivent activer les paramètres de stratégie de groupe sur leurs systèmes et mettre à jour leurs clients de Bureau à distance le plus rapidement possible. Gardez à l'esprit que les paramètres de stratégie de groupe sont désactivées par défaut pour éviter les problèmes de connectivité. Pour savoir comment leur permettre, les utilisateurs doivent suivre les instructions présentées ici.
La mise à jour a été publié le mars 2018 années “Patch Tuesday”, la mise à jour de sécurité globale fixe un total de 75 problèmes.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: