SMBGhost toujours exploitable sur 103 000 systèmes Windows

Plus de 100 000 systèmes Windows n’ont pas encore été mis à jour pour se protéger contre la faille SMBGhost qui est une vulnérabilité critique qui a déjà été corrigée.

Microsoft a corrigé la faille d’exécution de code à distance identifiée comme CVE-2020-0796 en Mars. Cette vulnérabilité affecte Windows 10 et Windows Server 2019 et a une note de 10 sur 10 sur l’échelle CVSS. Elle existe dans la version 3.1.1 du protocole Microsoft Server Message Block (SMB), le même protocole qui a été ciblé par le tristement célèbre ransomware WannaCry en 2017.

«Je ne sais pas quelle méthode Shodan utilise pour déterminer si une certaine machine est vulnérable à SMBGhost, mais si son mécanisme de détection est précis, il semblerait qu’il y ait encore plus de 103 000 machines affectées accessibles depuis Internet», a déclaré Jan Kopriva, l’un des chercheurs du SANS Internet Storm Center.

smbghost

Selon Kopriva, bon nombre de ces systèmes vulnérables (22%) se trouvent à Taiwan, au Japon (20%), en Russie (11%) et aux États-Unis (9%).

Microsoft a déployé son correctif, KB4551762, en tant que mise à jour pour Windows 10 (versions 1903 et 1909) et Windows Server 2019 (versions 1903 et 1909).

Autre méthode pour contrer SMBGhost

Au lieu d’un correctif, Microsoft avait noté en Mars que les administrateurs pouvaient utiliser PowerShell pour désactiver la compression SMBv3, ce qui empêchera les attaquants non authentifiés d’exploiter la vulnérabilité sur un serveur SMBv3. Pour protéger les clients des attaques extérieures, il est nécessaire de bloquer le port TCP 445 au niveau du pare-feu du périmètre du réseau de l’entreprise. Kopriva pour sa part a également suivi un pourcentage de toutes les adresses IP avec un port 445 ouvert en utilisant Shodan, et a constaté que dans l’ensemble, environ 8% de toutes les IP ont le port 445 ouvert.

Le graphique ci-dessous montre le nombre de systèmes vulnérables à SMBGhost. Kopriva a noté dans un message que les «creux» dans les données sont vraisemblablement causés par la nouvelle analyse par Shodan d’un grand nombre de plages d’adresses IP.

smbghost

La pression est forte pour que les administrateurs système corrigent leurs systèmes contre la faille SMBGhost, avec diverses preuves de concepts (PoC) pour la faille qui ont été publiées au cours des derniers mois. Alors que de nombreuses tentatives d’exploitation de SMBGhost n’ont abouti qu’à un déni de service ou à une élévation des privilèges locaux, un exploit publié en Juin par quelqu’un qui s’appelle «Chompie», qui a annoncé sur Twitter que son exploit a atteint l’exécution de code à distance.

«Étant donné que la publication de cet exploit a de nouveau suscité une large attention de la part des médias, on peut raisonnablement s’attendre à ce que la plupart des machines vulnérables aient été corrigées, en particulier celles accessibles depuis Internet», selon Kopriva.

Ces preuves de concept ont également incité les autorités à recommander aux entreprises de se mettre à jour en Juin, affirmant que les cybercriminels ciblent les systèmes non corrigés: «il est fortement recommandé d’utiliser un pare-feu pour bloquer les ports de messages du serveur sur Internet et d’appliquer des correctifs aux vulnérabilités de haute gravité dès que possible. »

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x