La dernière livraison des Shadow Brokers au mois d’avril dernier n’en finit pas de donner des sueurs froides aux responsables de sécurité des entreprises, mais aussi des éditeurs de logiciel. Au premier rang desquels on retrouve Microsoft. Il y a 2 semaines, le monde découvrait WannaCry, un ransomware basé sur la faille dans SMB de Windows. Doté d’un ver, sa propagation a été très rapide.
Aujourd’hui, les experts en sécurité s’inquiètent d’un autre exploit de la trousse à outils de la NSA, Esteemaudit. Il s’agit d’une faille zero day dans le protocole RDP utilisé par Windows XP et Server 2003 pour ouvrir des sessions à distance sur des PC. L’analyse de cet exploit montre qu’il vise le port 3389 et peut-être associé à un ver pour se propager au sein du réseau.
Le hic est que Microsoft n’a pas corrigé cette vulnérabilité. Ne touchant que Windows XP et Server 2003, l’éditeur ne supporte plus les correctifs de sécurité sur ces plateformes depuis 2014 et 2015. La firme américaine a fait une exception sur WannaCry et la faille Eternalblue pour éviter un chaos technique dans plusieurs entreprises. Etseemaudit n’est pas le seul exploit de la NSA à ne pas voir reçu de patch. Englishmandentist et Explodingscan sont également démunis.
En l’absence de réaction de la part de Microsoft, un éditeur tiers, EnSilo a décidé de corriger la faille dans RDP d’Esteemaudit. Ce correctif fonctionne sur Windows XP SP3 x86, Windows XP SP3 x64 et Windows Server 2003 R2. A chaque session, Windows va créer une nouvelle instance d’authentification (winlogon). Le patch va être chargé dans winlogon.exe (seulement s’il s’agit d’une session RDP) et s’exécute en tant que patch mémoire (hotpatching) sur Esteemaudit. Une autre technique alternative à celle d’EnSilo est de désactiver manuellement RDP.
Les spécialistes de la sécurité conseillent d’appliquer rapidement ce patch, car les deux systèmes d’exploitation restent encore très populaires au sein des entreprises. XP reste le 3ème OS utilisé dans le monde avec 7% de part de marché. Windows Server 2003 est toujours présent sur 18% des entreprises dans le monde soit 600 000 machines, hébergeant 75 millions de sites web.
A lire aussi :
WannaCry : autopsie du ransomware 2.0, boosté par les exploits de la NSA
WindsorGreen : les plans du casseur de chiffrement de la NSA en libre accès
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…