Le CERT-FR publie une alerte pour une vulnérabilité dans Windows RPC
Le CERT-FR a publié un bulletin d'alerte pour une faille de sécurité qui touche l'implémentation du protocole RPC dans Windows et qui permet une exécution de code à distance. Faisons le point.
Cette semaine, Microsoft a mis en ligne son nouveau Patch Tuesday (avril 2022), avec à la clé 119 vulnérabilités corrigées, à laquelle s'ajoutent 2 zero-day et 26 vulnérabilités dans le navigateur Microsoft Edge. Jusque-là un grand classique, sauf que, comme à chaque fois on peut s'attendre à ce qu'une ou plusieurs failles de sécurité sortent du lot à cause d'un niveau de menace plus élevé.
Cette fois-ci, c'est la vulnérabilité CVE-2022-26809 (que j'ai moi-même mise en avant dans mon article) qui fait l'objet d'un bulletin d'alerte au niveau du CERT-FR.
Sachez que cette faille de sécurité touche l'ensemble des versions de Windows (desktop) et Windows Server, c'est-à-dire :
- De Windows 7 à Windows 11, en passant par Windows 10
- De Windows Server 2008 à Windows Server 2022, y compris pour les installations en mode "Core"
Le CERT-FR recommande d'appliquer le correctif de sécurité dès que possible, et de son côté, Microsoft lui a attribué un score CVSS 3.1 de 9,8 sur 10. En fait, dans le descriptif de Microsoft, on peut lire que c'est une vulnérabilité facile à exploiter, et qui ne nécessite pas de privilèges, ni d'interaction d'un utilisateur, car elle peut être exploitée à distance via le réseau.
Quant aux mesures de protection, le CERT-FR rappelle qu'il est indispensable de respecter les règles suivantes (de manière générale et pas spécialement pour cette vulnérabilité) :
- Interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entrée et en sortie du Système d'Information ;
- Pour le cloisonnement interne : n'autoriser les flux SMB que lorsque cela est nécessaire (contrôleurs de domaine, serveurs de fichiers, etc.) et bloquer ce flux entre postes de travail ;
- Pour les postes nomades : interdire tous les flux SMB entrant et sortant et n'autoriser ces flux vers des serveurs SMB qu'au travers d'un VPN sécurisé
Le bulletin d'alerte est disponible à cette adresse : CVE-2022-26809.