GPA2SOU
Personne n'a le droit de mourir le ventre vide
Salam Arlaykoum
Tout est dans le titre et pour plus d'infos voir sur
Ces vulnérabilités jugées critiques permettent de faire de l’exécution de code arbitraire à distance.
Elles permettent à un attaquant non authentifié de faire de l'exécution de code à distance sur les services de bureau à distance.
L'exploitation est possible lorsque celui-ci se connecte au système cible à l'aide de RDP (Remote Desktop Protocol) et envoie des requêtes spécialement conçues.
Ces vulnérabilités se situent dans la pré-authentification et ne nécessitent aucune interaction de la part d'un utilisateur.
Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du code arbitraire sur le système cible.
Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d'utilisateur complets.
Ces mises à jour corrigent ces vulnérabilités en modifiant la façon dont les services de bureau à distance traitent les demandes de connexion.
Selon Microsoft, ces vulnérabilités concernent les systèmes Windows Server 2008 R2, Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2, WIndows 2016, Windows Server 2019, Windows 7 Sp1, Windows 8.1, Windows RT 8.1 ainsi que toutes les versions supportées de Windows 10.
Correctif 1
Correctif 2
Correctif 3
Correctif 4
Correctif 5
Correctif 6
Correctif 7
Si vous n'utilisez pas cette fonction, le mieux reste de la désactiver
A savoir que, Le protocole RDP (port par défaut 3389) est couramment utilisé dans le monde professionnel pour accéder à des bureaux distants.
Le problème lié à RDP, c’est son taux d’adoption qui en fait une cible de choix pour les pirates informatiques.
Une partie de ces attaques vise une faille de sécurité identifiée, et il est alors très difficile de s’en prémunir.
La meilleure politique consiste alors à mettre régulièrement à jour son système d’exploitation, en comptant sur l’éditeur pour corriger les failles avant qu’elles soient exploitées contre vous.
Il n’y a de toutes manières que l’éditeur qui pourra auditer et corriger le code, puisque RDP n’est pas un logiciel libre au code ouvert.
Mais il y a quelques mesures préventives que l’on peut mettre en place, pour limiter les attaques par force brute.
( Les exemples qui suivent sont basés sur Windows Server 2012 R2.)
Le système d’exploitation Windows Server 2012 R2 possède par défaut un compte invité.
Je ne suis pas certain de l’utilité réelle de ce compte, il est important de le désactiver pour ne pas permettre à n’importe qui d’avoir un pied sur la machine pour tenter une escalade de privilèges.
Pour cela, allez dans Gestion de l’ordinateur (compmgmt.msc) > Utilisateurs et groupes locaux > Utilisateurs > Invité (clic droit) > Le compte est désactivé.
Pour réduire le risque de succès d’une attaque par force brute ou par dictionnaire, la première chose à faire est d’employer des mots de passe forts avec tous les types de caractères : majuscules, minuscules, chiffres, ponctuation.
Réglages : Editeur de stratégie de groupe locale (gpedit.msc) > Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de mots de passe.
Là on a accès notamment à la durée de vie maximale d’un mot de passe, sa longueur minimale, et la possibilité de respecter des exigences de complexité ou pas.
Verrouiller un compte temporairement en cas d’échecs d’authentification
Les tentatives de connexion auprès d’un compte utilisateur devrait alerter le système pour empêcher de répéter ces tests de mots de passe.
Editeur de stratégie de groupe locale (gpedit.msc) > Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage du compte.
Là on a accès au nombre de tentatives au bout duquel le compte se verrouille, pour une durée à déterminer.
Il existe d'autre choses à faire pour mieux sécuriser mais comme je suis un peut occupé, je m’arrête la pour le moment
Tout est dans le titre et pour plus d'infos voir sur
Ces vulnérabilités jugées critiques permettent de faire de l’exécution de code arbitraire à distance.
Elles permettent à un attaquant non authentifié de faire de l'exécution de code à distance sur les services de bureau à distance.
L'exploitation est possible lorsque celui-ci se connecte au système cible à l'aide de RDP (Remote Desktop Protocol) et envoie des requêtes spécialement conçues.
Ces vulnérabilités se situent dans la pré-authentification et ne nécessitent aucune interaction de la part d'un utilisateur.
Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du code arbitraire sur le système cible.
Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d'utilisateur complets.
Ces mises à jour corrigent ces vulnérabilités en modifiant la façon dont les services de bureau à distance traitent les demandes de connexion.
Selon Microsoft, ces vulnérabilités concernent les systèmes Windows Server 2008 R2, Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2, WIndows 2016, Windows Server 2019, Windows 7 Sp1, Windows 8.1, Windows RT 8.1 ainsi que toutes les versions supportées de Windows 10.
Correctif 1
Correctif 2
Correctif 3
Correctif 4
Correctif 5
Correctif 6
Correctif 7
Si vous n'utilisez pas cette fonction, le mieux reste de la désactiver
A savoir que, Le protocole RDP (port par défaut 3389) est couramment utilisé dans le monde professionnel pour accéder à des bureaux distants.
Le problème lié à RDP, c’est son taux d’adoption qui en fait une cible de choix pour les pirates informatiques.
Une partie de ces attaques vise une faille de sécurité identifiée, et il est alors très difficile de s’en prémunir.
La meilleure politique consiste alors à mettre régulièrement à jour son système d’exploitation, en comptant sur l’éditeur pour corriger les failles avant qu’elles soient exploitées contre vous.
Il n’y a de toutes manières que l’éditeur qui pourra auditer et corriger le code, puisque RDP n’est pas un logiciel libre au code ouvert.
Mais il y a quelques mesures préventives que l’on peut mettre en place, pour limiter les attaques par force brute.
( Les exemples qui suivent sont basés sur Windows Server 2012 R2.)
Le système d’exploitation Windows Server 2012 R2 possède par défaut un compte invité.
Je ne suis pas certain de l’utilité réelle de ce compte, il est important de le désactiver pour ne pas permettre à n’importe qui d’avoir un pied sur la machine pour tenter une escalade de privilèges.
Pour cela, allez dans Gestion de l’ordinateur (compmgmt.msc) > Utilisateurs et groupes locaux > Utilisateurs > Invité (clic droit) > Le compte est désactivé.
Pour réduire le risque de succès d’une attaque par force brute ou par dictionnaire, la première chose à faire est d’employer des mots de passe forts avec tous les types de caractères : majuscules, minuscules, chiffres, ponctuation.
Réglages : Editeur de stratégie de groupe locale (gpedit.msc) > Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de mots de passe.
Là on a accès notamment à la durée de vie maximale d’un mot de passe, sa longueur minimale, et la possibilité de respecter des exigences de complexité ou pas.
Verrouiller un compte temporairement en cas d’échecs d’authentification
Les tentatives de connexion auprès d’un compte utilisateur devrait alerter le système pour empêcher de répéter ces tests de mots de passe.
Editeur de stratégie de groupe locale (gpedit.msc) > Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage du compte.
Là on a accès au nombre de tentatives au bout duquel le compte se verrouille, pour une durée à déterminer.
Il existe d'autre choses à faire pour mieux sécuriser mais comme je suis un peut occupé, je m’arrête la pour le moment