SMBleed: une nouvelle faille affecte le protocole SMB

Des chercheurs en cybersécurité ont découvert une nouvelle vulnérabilité nommée SMBleed. Cette faille affecte le protocole Server Message Block (SMB) et pourrait permettre aux pirate d’atteindre la mémoire du noyau à distance, et lorsqu’elle est combinée avec une faille précédemment divulguée, elle peut être exploitée pour réaliser des attaques d’exécution de code à distance .

Surnommé “SMBleed” (CVE-2020-1206) par la firme de cybersécurité ZecOps, la faille réside dans la fonction de décompression de SMB – la même fonction qu’avec SMBGhost ou la faille EternalDarkness (CVE-2020-0796), qui est apparu il y a trois mois.

La vulnérabilité nouvellement découverte a un impact sur les versions 1903 et 1909 de Windows 10, pour lesquelles Microsoft a publié des correctifs de sécurité dans le cadre de ses mises à jour mensuelles Patch Tuesday du mois de Juin.

Le développement survient alors que la Cybersecurity and Infrastructure Security Agency (CISA) a publié un rapport la semaine dernière pour avertir les utilisateurs de Windows 10 de mettre à jour leurs machines après la publication en ligne du code d’exploitation pour la faille SMBGhost.

SMBGhost a été jugé si grave que la faille a reçu un score CVSS maximum de 10 sur 10.

smbleed

“Bien que Microsoft ait divulgué et fourni des mises à jour pour cette vulnérabilité en Mars 2020, des cyber-acteurs malveillants ciblent les systèmes non patchés avec la nouvelle preuve de concept, selon de récents rapports”, a déclaré CISA.

SMB, qui s’exécute sur le port TCP 445, est un protocole réseau qui est la base du partage de fichiers, de la navigation, des services d’impression et de la communication inter-processus sur un réseau.

Selon les chercheurs de ZecOps, la faille provient de la façon dont la fonction de décompression en question (“Srv2DecompressData“) gère les requêtes de message spéciales (par exemple, SMB2 WRITE) envoyées à un serveur SMBv3 ciblé, permettant à un pirate de lire la mémoire du noyau et d’apporter des modifications à la fonction de compression.

“La structure du message contient des champs tels que la quantité d’octets à écrire et les indicateurs, suivis d’un tampon de longueur variable”, ont déclaré les chercheurs. “C’est parfait pour exploiter la faille car nous pouvons créer un message qui nous permet de spécifier l’en-tête, mais le tampon de longueur variable contient des données non initialisées.”

“Un pirate informatique qui parviendrait à exploiter la vulnérabilité pourrait obtenir des informations susceptibles de compromettre davantage le système de l’utilisateur. Pour exploiter la vulnérabilité contre un serveur, un pirate non authentifié pourrait envoyer un paquet spécialement conçu vers un serveur SMBv3 ciblé”, a déclaré Microsoft dans son avis.

“Pour exploiter la vulnérabilité, un attaquant non authentifié devra configurer un serveur SMBv3 illicite et convaincre un utilisateur de s’y connecter”, a ajouté Microsoft.

smbleed

Pire encore, SMBleed peut être associé à SMBGhost sur des systèmes Windows 10 non patchés pour obtenir l’exécution de code à distance. La sociéré a également publié un code d’exploitation preuve de concept démontrant les failles.

Windows 10 Version 2004

Mise à jourSMBGhostSMBleed
KB4557957Pas VulnérablePas Vulnérable
Before KB4557957Pas VulnérableVulnérable

Windows 10 Version 1909

Mise à jourSMBGhostSMBleed
KB4560960Pas VulnérablePas Vulnérable
KB4551762Pas VulnérableVulnérable
Before KB4551762VulnérableVulnérable

Windows 10 Version 1903

Mise à jourNull Dereference BugSMBGhostSMBleed
KB4560960PatchéPas VulnérablePas Vulnérable
KB4551762PatchéPas VulnérableVulnérable
KB4512941PatchéVulnérableVulnérable
Aucune de ces réponsesNon PatchéVulnérablePotentiellement vulnérable*

Pour atténuer la vulnérabilité, il est recommandé que les particuliers et les professionnels installent les dernières mises à jour de Windows dès que possible.

Pour les systèmes où le patch n’est pas applicable, il est conseillé de bloquer le port 445 pour empêcher les mouvements latéraux et l’exploitation à distance.

Les instructions de sécurité de Microsoft concernant SMBleed et SMBGhost dans Windows 10 version 1909 et 1903 et les même numéros de versions de Server Core peuvent être trouvées ici et ici.