Une faille critique a été repérée dans l’implémentation du Remote Procedure Call dans la plupart des systèmes d’exploitation du géant. Les patchs sont disponibles et leur application est impérative.
RPC, pour Remote Procedure Call, est un protocole réseau presque aussi vieux que l’informatique. Ce système envoie des requêtes à un serveur distance afin d’exécuter une procédure spécifique, en fonction de paramètres définis. Une petite erreur s’est glissée dans l’implémentation de ce protocole par Microsoft sur ses différents systèmes d’exploitation.
En conséquence de quoi c’est une faille critique qui a été ouverte. CVE-2022-26809 a été publié le 12 avril, avec un score CVSS de 9,8 sur 10. Cette vulnérabilité est en effet largement répandue, elle affecte tous les Windows, de 7 à 11, en passant par les Server 2008 à 2022. Elle est en outre aisée à exploitée, puisqu’elle passe par le réseau et ne requiert aucune interaction utilisateur.
Bref, la faille est sérieuse : par son biais, un attaquant envoyant un appel RPC spécialement conçu à un hôte RPC peut déclencher l'exécution de code à distance du côté du serveur, avec les mêmes permissions que le service RPC. Heureusement, Microsoft a sorti un correctif, qu’il est conseillé d’appliquer dès que possible.
De son côté, le CERT-FR rappelle quelques bonnes pratiques pour la sécurisation des environnements Windows, dont interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entrée et en sortie du SI, en interne ne l’autoriser que si nécessaire, et pas entre postes de travail, et pour les postes nomades, n’autoriser ces flux qu’au travers d’un VPN sécurisé.