Après la crise survenue suite à la propagation du ransomware WannaCry, des chercheurs de sécurité ont tiré la sonnette d’alarme à propos d’une autre menace qui risque de dégénérer dans le futur. En effet, ils craignent que les pirates exploitent un autre exploit volé à la NSA pour cibler les systèmes de Windows XP et Windows Server 2003.Pour rappel, le groupe Shadow Brockers avait réussi à s’infiltrer dans les serveurs de la NSA avant de dérober plusieurs exploits de Windows que l’agence a développés pour pirater ces systèmes partout dans le monde. Le groupe des hackers a par la suite rendu ces vulnérabilités disponibles en ligne, ce qui a conduit à une augmentation des attaques qui ciblent les machines tournant sous Windows, y compris la récente attaque du ransomware WannaCry.
Le mois dernier, le groupe Shadow Brockers a encore une fois publié d’autres exploits qui n’ont toujours pas été corrigés par Microsoft comme « EnglishmanDentist », « EsteemAudit » et « ExplodingCan ». La disponibilité de ces vulnérabilités et outils de piratage représente une menace sérieuse de la sécurité, toute personne, avec les connaissances techniques nécessaires, pourrait se servir de ces failles pour compromettre la sécurité de millions de machines de Windows à travers le monde.
Si Microsoft a émis des correctifs de sécurité pour les failles SMB exploitées par WannaCry, l’éditeur n’a pas fait de même pour les autres exploits. « Des trois exploits restants, “EnglishmanDentist”, “EsteemAudit”, et “ExplodingCan”, aucun d’eux ne se reproduit sur les plateformes supportées, ce qui veut dire que les utilisateurs de Windows 7 et les versions plus récentes de Windows et Exchange 2010 ou les versions plus récentes de Exchange ne sont pas en danger », a indiqué Microsoft.
EsteemAudit est particulièrement inquiétant, il s’agit d’un outil de piratage développé par la NSA et qui cible le service RDP (port 3389) sur Microsoft Windows Server 2003 et Windows XP. Et puisque ces deux systèmes ne sont plus supportés par Microsoft, plus de 24 000 machines restent vulnérables et exposées à une attaque qui pourrait s’appuyer sur cet outil.
« Même une seule machine infectée peut ouvrir la voie à une exploitation à grande échelle, » ont dit Omri Misgav et Tal Liberman, les deux chercheurs de sécurité de la firme de cyber sécurité Ensilo qui ont lancé un patch non officiel pour EsteemAudit.
« Parmi les exploits rendus publics par le Shadow Group, il y a ESTEEMAUDIT, un exploit RDP qui permet littéralement à un malware de se déplacer au sein d’une organisation, comme il a été le cas avec WannaCry », a écrit Ensilo dans un billet de blog.
« enSilo rend disponible gratuitement son patch contre ESTEEMAUDIT dans l’intention d’aider les organisations partout dans le monde à améliorer leur sécurité avec une seule mesure simple, mais critique. »
Il faut savoir que « patcher » cet exploit ne rend pas ces systèmes XP totalement sécurisés, l’OS n’étant plus supporté par Microsoft, il reste assailli de vulnérabilités non corrigées et nous préconisons toutes les organisations à appliquer les mises à jour nécessaires à leurs systèmes. En attendant, nous pensons que les exploits critiques comme ESTEEMAUDIT et ETERNALBLUE doivent être corrigés.
Les experts notent qu’EsteemAudit peut aussi être utilisé pour la propagation de malwares dans les réseaux des entreprises, de façon similaire au ransomware WannaCry, une manière pour les pirates de prendre le contrôle de réseaux d'entreprises et rendre des milliers de systèmes vulnérables aux ransomwares, à l’espionnage et aux autres attaques malicieuses.
« Après des années, il reste encore des centaines de millions de machines tournant sous les systèmes XP et Server 2003 à travers le monde. Les systèmes basés sur Windows XP représentent plus de 7 % des OS de bureau encore en utilisation aujourd’hui et l’industrie de cyber sécurité estime que plus de 600 000 machines hébergeant 175 millions de sites web, tournent toujours Windows Server 2003, soit 18 % de la part du marché global », a expliqué Ensilo.
Les auteurs de ransomwares, comme les cybercriminels derrière CrySis, Dharma et SamSam sont déjà en train d’infecter les ordinateurs via le protocole RDP en menant des attaques par force brute. Ces mêmes pirates pourraient exploiter EsteemAudit pour rendre ces menaces encore plus agressives et dangereuses.
S’il est difficile pour une entreprise de mettre à niveau ses systèmes immédiatement, les experts préconisent que chaque organisation sécurise son port RDP soit en le désactivant, soit en le plaçant derrière un pare-feu.
Source : Security Affairs - Ensilo
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA, peut infecter toutes les versions de Windows 
