Satnam Narang, Senior Research Engineer, chez Tenable, commente :

« Depuis la mise en garde de Microsoft contre BlueKeep (CVE-2019-0708) en mai dernier, son équipe Microsoft Security Vulnerability Research (MSVR) a identifié de nouvelles vulnérabilités dans Remote Desktop Services.

Les équipes de recherches internes ont identifié quatre nouvelles vulnérabilités critiques dans les RDS : CVE-2019-1290, CVE-2019-1291, CVE-2019-0787 et CVE-2019-0788. Contrairement à "BlueKeep" et "DejaBlue", où les attaquants ciblent des serveurs de postes de travail distants vulnérables, ces failles obligent un attaquant à convaincre un utilisateur de se connecter à un serveur RDS illégitime. Les pirates pourraient également compromettre des serveurs vulnérables, héberger du code malveillant et attendre que les utilisateurs s’y connectent.

Microsoft a également corrigé deux vulnérabilités exploitées sauvagement comme des Zero-Day :

• CVE-2019-1214 est une vulnérabilité d’élévation des privilèges dans le pilote CLFS (Windows Common Log File System) ;
• Tandis que CVE-2019-1215 est une élévation de vulnérabilité de privilèges dans le pilote IFS Winsock (ws2ifsl.sys).

Ces deux vulnérabilités résultent d’une gestion incorrecte des objets en mémoire par les pilotes respectifs. Les vulnérabilités d’élévation de privilèges sont utilisées par les attaquants une fois qu’ils ont réussi à accéder à un système pour exécuter du code sur leurs systèmes cibles avec des privilèges élevés. »