Une vulnérabilité RDP Windows corrigée à deux reprises
Microsoft a publié deux séries de correctifs pour une vulnérabilité RDP présente dans le ‘named pipe’ sous le système d’exploitation Windows.
Suivi sous le nom de CVE-2022-21893, le problème a été initialement résolu lors du Patch Tuesday de janvier 2022, mais une analyse de la correction a révélé qu'un nouveau vecteur d'attaque n'avait pas été corrigé. Lors du Patch Tuesday d'avril 2022, Microsoft a résolu le problème sous le nom de CVE-2022-24533.
Le bogue pourrait permettre à un utilisateur non privilégié qui accède à une machine via RDP d'accéder au système de fichiers des machines clientes d'autres utilisateurs connectés, il autoriserait également l'attaquant à visualiser et à modifier les données des autres utilisateurs connectés, notamment le contenu du presse-papiers, les fichiers transférés et les codes PIN des cartes à puce. Il pourrait également usurper l'identité d'autres utilisateurs connectés à la machine et accéder aux périphériques redirigés de la victime, notamment les périphériques USB, les disques durs, etc.
Selon les chercheurs de CyberArk, la vulnérabilité existe parce que les autorisations de named pipe sont incorrectement gérées dans les services Bureau à distance, permettant ainsi à un utilisateur disposant de privilèges normaux de "prendre le contrôle des canaux virtuels RDP dans d'autres sessions connectées."
"Le named pipe a été créé de telle sorte qu'il permettrai à chaque utilisateur du système de créer des instances de serveur named pipe supplémentaires avec le même nom", explique CyberArk.
Le premier correctif a modifié les permissions du pipe, empêchant ainsi les utilisateurs standard de créer des serveurs named pipe. Cependant, il n'a pas abordé le risque associé à la création du premier serveur pipe, alors que l'utilisateur peut définir des autorisations pour les instances suivantes.
Avec le deuxième correctif, un nouveau GUID est généré pour les nouveaux pipes (empêchant ainsi les attaquants de prédire le nom du prochain pipe) et le serveur de pipes est créé avec le nouveau nom unique. En outre, Microsoft a introduit un contrôle supplémentaire pour vérifier l'ID du processus actuel par rapport à l'ID du processus du serveur de named pipe.
Les utilisateur du Windows sont invités à appliquer les mises à jour disponible afin d’éviter tout risque possible.