Vulnérabilité dans l’implémentation du protocole RPC par Microsoft
RISQUE
- Exécution de code arbitraire à distance
SYSTÈMES AFFECTÉS
- De Windows 7 à Windows 11, en passant par Windows 10
- De Windows Server 2008 à Windows Server 2022, y compris pour les installations en mode "Core"
RÉSUMÉ
Une vulnérabilité a été découverte dans l'implémentation Microsoft du protocole RPC - Remote Procedure Call - protocole permettant d'effectuer des appels de procédures sur des machines distantes. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. En particulier, cette vulnérabilité affecte le protocole SMB - Server Message Block - qui permet notamment le partage de ressources comme les fichiers ou les imprimantes.
Il est recommandé d'appliquer la mise à jour dans les plus brefs délais, en priorité sur les systèmes les plus critiques (notamment les contrôleurs de domaine Active Directory). Au vu de la criticité de cette vulnérabilité, Microsoft a publié des correctifs de sécurité pour des systèmes qui ne sont plus supportés (en particulier, Windows 7 et Windows Server 2008 R2).
Il est également requis de procéder à une revue des règles de filtrage afin de s'assurer du respect des bonnes pratiques de sécurisation des environnements Microsoft (notamment [1], [2], [3]).
SOLUTION
Se référer au bulletin de sécurité Microsoft du 12 avril 2022 pour l'obtention des correctifs.
Lorsque les correctifs ne peuvent pas être appliqués, il est préférable de procéder, par ordre de préférence :
- à la déconnexion des systèmes affectés du réseau ;
- au filtrage, sur les systèmes affectés, des ports réseaux suivants en entrée :
1. les ports TCP/139 et TCP/445 dans la mesure où SMB est un vecteur de transport de nombreuses interfaces RPC
2. les ports UDP/135, TCP/135 ainsi que la plage de ports dynamique utilisés par l'écosystème RPC
Source : CERT FR