Les bulletins de sécurité Microsoft de ce mois-ci ont fait couler beaucoup d'encre avec la faille de validation ECC "crypt.dll" (alias CurveBall alias ChainOfFools), mais ceux de Windows Remote Desktop Gateway (RD Gateway) - certains cas d'exécution de code à distance - méritent votre attention immédiate, en particulier les CVE-2020-0609 et CVE-2020-0610.
Ce qui suit est mon processus de réflexion sur la façon dont j'enquête sur ces types de vulnérabilités avec un système tel que Censys.
Il est intéressant de creuser dans Censys pour trouver ces hôtes. En bref, comme Censys enregistre les observations du réseau, vous devez déterminer comment le logiciel se présente sur le réseau. Pour les logiciels basés sur le web, Microsoft a souvent un en-tête spécifique qui exprime le produit et la version. Mais dans ce cas, ce n'est pas le cas, et je dois donc m'appuyer sur d'autres signaux pour identifier les candidats de manière robuste. Mon objectif est d'estimer la taille de la population vulnérable, et peut-être d'aider à identifier les actifs de mon réseau que je dois corriger ou remédier.
Normalement, dans ce type de scénario (pas de marqueur évident tel qu'un en-tête web distinctif), lorsque je veux exploiter Censys pour ces données, je commence par une recherche de texte libre avec le nom du produit, généralement sous la forme d'une chaîne de caractères entre guillemets.
https://censys.io/ipv4?q=%22Remote+Desktop+Web+Access%22
Dans ce cas, il renvoie moins de 100 hôtes, ce qui me laisse penser qu'il ne s'agit pas de la bonne requête. J'ai trouvé un article d'assistance sur les forums de Microsoft qui décrit le chemin Web RDP par défaut (/rdweb). Cette chaîne est un terme de requête très efficace car elle est unique. Il s'avère que nous voyons près de 38 000 serveurs avec "/rdweb" dans leurs pages web :
https://censys.io/ipv4?q=rdweb
À partir de là, vous pouvez affiner la recherche pour la restreindre à votre organisation par CIDR, nom de domaine ou autre. Dans ce cas, nous n'avons pas de numéro de version présenté par la bannière Web RDP, mais certains produits en ont. Si nous en avions, nous les utiliserions pour affiner l'ensemble des résultats en fonction de la gamme de produits vulnérables figurant dans l'avis du fournisseur.
