Une vulnérabilité de SMBv3 a été patchée par Microsoft

Microsoft a distribué un patch d’urgence pour corriger une faille de SMBv3 qui a été révélée la semaine dernière. Le patch de la vulnérabilité, identifié comme CVE-2020-0796, est désormais déployé sur les systèmes Windows 10 et Windows Server 2019 dans le monde entier, selon Microsoft.

Microsoft a mis en garde contre vette vulnérabilité d’exécution de code à distance dans le protocole Microsoft Server Message Block – le même protocole qui a été ciblé par le tristement célèbre ransomware WannaCry en 2017. Microsoft a distribué le patch, KB4551762, le jour suivant en tant que mise à jour pour Windows 10 (versions 1903 et 1909) et Windows Server 2019 (versions 1903 et 1909).

La faille critique affecte Windows 10 et Windows Server 2019, et n’avais pas été patchée par la mise à jour Patch Tuesday de Microsoft du mois de Mars.

microsoft smbv3

La faille se trouve dans la version 3.1.1 du système de partage de fichiers SMB de Microsoft. SMB permet à plusieurs clients d’accéder aux dossiers partagés et peut fournir une surface d’attaque large pour les logiciels malveillants en ce qui concerne la propagation et les infections de client à client. On a eu un exemple de cela dans la version 1 de SMB en 2017, lorsque le ransomware WannaCry a utilisé l’exploit EternalBlue développé par la NSA pour se propager rapidement dans le monde entier.

Dans le cas présent, “pour exploiter la vulnérabilité sur un serveur SMB, un individu non authentifié pourrait envoyer un paquet spécial au serveur SMBv3 ciblé”, a expliqué Microsoft dans son rapport. «Pour exploiter la vulnérabilité sur un client SMB, un individu non authentifié doit configurer un serveur SMBv3 malveillant et convaincre la victime de s’y connecter.»

Microsoft a publié son rapport uniquement après que les détails de la faille aient été publiés en ligne par Cisco Talos et Fortinet. La divulgation faite par ces 2 compagnies était le résultat d’une erreur de communication avec Microsoft – les deux articles ont depuis été supprimés.

Selon Duo Security, Fortinet a décrit le problème comme une «faille de débordement de tampon dans les serveurs Microsoft SMB» et a déclaré qu’elle pourrait être exploité pour exécuter du code arbitraire dans le contexte de l’application. La compagnie Cisco Talos a quant à elle averti qu’une fonctionnalité de ver permettrait de «passer de victime en victime».

Bien que cette faille de SMBv3 soit dangereuse, les chercheurs ont déclaré que cette vulnérabilité ne mènerait probablement pas à un «WannaCry 2.0».

microsoft windows

Jake Williams, fondateur de la société de sécurité Rendition Security, a déclaré sur Twitter que le risque d’exploitation est atténué par les protections du noyau – en particulier la randomisation de la configuration de l’espace d’adressage du noyau (KASLR). KASLR organise de manière aléatoire les positions de l’espace d’adressage des zones de données clés d’un processus donné. Cela signifie essentiellement qu’un hacker ne peut pas établir un seul chemin d’attaque et l’utiliser encore et encore.

«Core SMB se trouve dans le noyau et KASLR est excellent pour mitiger l’exploitation», a tweeté Williams. “En supposant qu’il s’agit de l’espace du noyau, toute exploitation infructueuse entraîne [l’écran bleu de la mort] un BSOD.” Il a ajouté: «Même avec le code de déclenchement, vous devez toujours contourner KASLR à distance (pas une tâche facile). Si vous avez besoin d’une preuve, jetez un œil BUCKEYE. Ils avaient le déclencheur d’EternalBlue, mais devaient l’associer à une autre vulnérabilité de divulgation d’informations pour obtenir l’exécution de code. Ce n’est pas facile. “

Jusqu’à présent, rien ne prouve que cette vulnérabilité de SMBv3 ait été exploitée dans la nature, a déclaré Microsoft dans son communiqué.

Comment se protéger de cette faille de SMBv3?

Microsoft a noté que les administrateurs peuvent utiliser PowerShell pour désactiver la compression SMBv3, ce qui empêcherait les individus non authentifiés d’exploiter la vulnérabilité sur un serveur SMBv3. Cependant, la meilleure solution est de patcher la faille le plus tôt possible.

Pour protéger les clients contre les attaques extérieures, il est nécessaire de bloquer le port TCP 445 au niveau du pare-feu qui protège le réseau de l’entreprise.

“Le port TCP 445 est utilisé pour établir une connexion avec l’appareil infecté”, a noté Microsoft. «Le blocage de ce port dans le pare-feu aidera à protéger les systèmes qui se trouvent derrière ce pare-feu contre les tentatives d’exploitation de cette vulnérabilité. Cela peut aider à protéger les réseaux contre les attaques provenant de l’extérieur. Le blocage des ports est la meilleure défense pour éviter les attaques venant de l’extérieur.»

Cependant, les systèmes peuvent toujours être vulnérables aux attaques venant de l’intérieur du réseau de l’entreprise donc une fois que les pirates informatiques pénètrent dans le réseau de l’entreprise, ils peuvent utiliser un exploit pour se déplacer sans entraves. Microsoft a publié des directives générales pour empêcher ce genre de “connexions latérales”.