Les serveurs Windows Server vulnérables à la faille de sécurité critique surnommée MadLicense
MadLicense, c'est le nom attribué à une faille de sécurité critique qui affecte les serveurs sous Windows Server, et plus particulièrement le service Remote Desktop Licensing. Faisons le point sur cette menace.
Pour rappel, le service Remote Desktop Licensing joue un rôle important lors de la mise en œuvre d'une infrastructure de Bureau à distance, appelée couramment RDS (ou TSE). Il est en charge de la gestion et la distribution des licences de type "CAL" pour l'accès des clients sur les hôtes de session Bureau à distance. De ce fait, il est déployé au sein des organisations utilisatrices de la solution RDS de Microsoft, disponible sur Windows Server.
Derrière le nom MadLicense, se cache la faille de sécurité CVE-2024-38077 corrigée par Microsoft à l'occasion de la sortie du Patch Tuesday de Juillet 2024. Autrement dit, un correctif est disponible pour cette vulnérabilité depuis le mardi 9 juillet 2024. Elle est associée à un score CVSS de 9.8 sur 10.
Si elle fait parler d'elle en ce moment, c'est parce qu'un exploit PoC a été publié pour cette faille de sécurité critique. Quelques recherches sur Google permettent de tomber sur différents dépôts GitHub faisant référence à cet exploit désormais public. D'ailleurs, cela semble tellement gênant et critique, que le blogpost publié au sujet de la vulnérabilité MadLicense affiche désormais une page 404, car il a été supprimé.
De plus, la vidéo YouTube associée à ce PoC et réalisée par les chercheurs en sécurité, a été supprimée également. Pour effacer les traces de cet article et cette démonstration, les caches des moteurs de recherche semblent aussi avoir été purgés.
Vulnérabilité MadLicense : quels sont les risques ?
Cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code à distance (RCE) sur le serveur Windows vulnérable. Elle affecte toutes les versions de Windows Server 2000 à Windows Server 2025, c'est d'ailleurs cette dernière version qui a été utilisée pour faire une démonstration.
Grâce à la vulnérabilité MadLicense, un attaquant peut donc prendre le contrôle complet d'un serveur cible sans nécessiter d'interaction de la part d'un utilisateur. Il y a un réel risque associé à cette vulnérabilité, car le rôle RDS est particulièrement populaire dans les entreprises, notamment pour mettre à disposition une ou plusieurs applications métiers à des utilisateurs.
Comment se protéger de la CVE-2024-38077 ?
Vous avez déjà installé les mises à jour de juillet 2024 sur vos machines Windows Server, et en particulier celle avec le rôle Remote Desktop Licensing ? Vous êtes déjà protégé !
Voici la liste des mises à jour cumulatives mensuelles correspondantes à juillet 2024 :
- Windows Server 2008 : KB5040499
- Windows Server 2008 R2 : KB5040497
- Windows Server 2012 : KB5040485
- Windows Server 2012 R2 : KB5040456
- Windows Server 2016 : KB5040434
- Windows Server 2019 : KB5040430
- Windows Server 2022 : KB5040437
Ces informations sont disponibles sur le site de Microsoft, sur cette page. Enfin, sachez que dans quelques heures, Microsoft va déployer de nouvelles mises à jour correspondantes au Patch Tuesday d'août 2024.