Jeudi, Microsoft a publié un correctif d'urgence pour un bogue de sécurité critique qui permet aux attaquants d'exécuter à distance du code malveillant qui peut se propager d'une machine vulnérable à une autre machine sans nécessiter une interaction des utilisateurs.La faille Microsoft Server Message Block 3.1.1 (SMBv3) n'est présente que dans les versions 1903 et 1909 de Windows 10 32 et 64 bits pour les clients et les serveurs. Bien que la vulnérabilité soit difficile à exploiter de manière fiable, Microsoft et des chercheurs externes la considèrent comme critique, car elle ouvre de grands réseaux aux attaques dites « wormable », dans lesquelles la compromission d'une seule machine peut déclencher une réaction en chaîne qui permet d'infecter toutes les autres machines Windows. Le même scénario a été observé avec WannaCry et NotPetya en 2017.
Les versions suivantes de Microsoft Windows et Windows Server sont concernées :
Dans un bulletin en marge du Patch Tuesday, Microsoft a déclaré qu'il n'avait aucune preuve que la faille était activement exploitée, mais la société a ensuite dit que l'exploitation du bogue était probable, laissant entendre que des acteurs malveillants vont probablement développer et utiliser des exploits à l'avenir pour cibler cette faille.
Microsoft a écrit ceci :
« Il existe une vulnérabilité d'exécution de code à distance dans la façon dont le protocole Microsoft Server Message Block 3.1.1 (SMBv3) gère certaines demandes. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait gagner la possibilité d'exécuter du code sur le serveur ou le client cible.
« Pour exploiter la vulnérabilité sur un serveur, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur SMBv3 ciblé. Pour exploiter la vulnérabilité sur un client, un attaquant non authentifié devrait configurer un serveur SMBv3 illicite et convaincre un utilisateur de s'y connecter.
« La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le protocole SMBv3 traite ces demandes spécialement conçues ».
Peu de temps après la publication du correctif de Microsoft, les chercheurs de la société de sécurité Sophos ont publié une analyse qui a donné des détails sur la vulnérabilité. Ils ont expliqué que :
« La vulnérabilité implique un integer overflow et underflow dans l'un des pilotes du noyau. L'attaquant pourrait créer un paquet malveillant pour déclencher le underflow et avoir une lecture arbitraire à l'intérieur du noyau, ou déclencher le overflow et écraser un pointeur à l'intérieur du noyau. Le pointeur est ensuite utilisé comme destination pour écrire des données. Par conséquent, il est possible d'obtenir une primitive write-what-where dans l'espace d'adressage du noyau ».
Grosso modo, les attaquants avec un exploit bien écrit pourraient lire des mots de passe en texte brut ou d'autres données sensibles et pourraient également obtenir un shell de commande qui peut être utilisé pour prendre le contrôle de la machine vulnérable. EternalBlue, un exploit SMB antérieur développé par la NSA, mais qui lui a été dérobé, disposait également d'une capacité de lecture-écriture pour remplacer une fonction SMB entrante par une fonction malveillante. Cela permettait à l'attaquant d'exécuter du code malveillant la prochaine fois qu'une machine vulnérable appelait la fonction SMB.
Une faille qui peut être exploitée de plusieurs manières
Sophos a expliqué que les hackers pourraient utiliser l'exploit dans au moins trois scénarios:
Scénario 1: l'attaquant cible une machine partageant des fichiers. Si un utilisateur ou un administrateur a modifié les paramètres par défaut pour ouvrir le port 445 ou désactivé le pare-feu Windows, ou si la machine appartient à un domaine Windows, la machine est ouverte à une forme d'attaque à distance qui permet aux attaquants de prendre le contrôle.
« Il va sans dire que tout système non corrigé avec le port SMB vulnérable ouvert à l'Internet public pourrait devenir une cible d'opportunité pour une attaque wormable similaire à WannaCry », ont prévenu les chercheurs de Sophos jeudi. « Le facteur atténuant est qu'il nécessite un attaquant avec un exploit de pointe qui pourrait contourner toutes les mesures d'atténuation de la sécurité que Microsoft a intégrées à Windows 10 et que la cible a le port 445 / tcp ouvert pour les connexions entrantes ».
Scénario 2: un attaquant incite un utilisateur à se connecter à un serveur malveillant. Les attaquants pourraient utiliser des messages de spam contenant des liens qui, lorsque vous cliquez dessus, font que la machine vulnérable rejoint le réseau malveillant de l'attaquant. Avec cela, l'attaquant aurait le plein contrôle sur la machine. Une variante : l'attaquant qui a déjà un accès limité à un réseau usurpe un appareil de confiance au sein de l'organisation. Les machines qui utilisent SMBv3 pour se connecter à cette machine usurpée sont alors compromises.
Lorsque les deux variantes sont combinées, ce type d'attaque peut être utile pour obtenir un accès initial à un réseau ciblé, puis pivoter vers des machines plus privilégiées ou sensibles. Un inconvénient du point de vue de l'attaquant est que ces types d'exploits nécessitent l'ingénierie sociale d'un utilisateur ciblé.
Scénario 3: un attaquant qui obtient un accès limité à un ordinateur vulnérable par d'autres moyens, exploite la faille SMBv3 pour exécuter du code malveillant qui a les mêmes droits système que l'utilisateur ciblé. À partir de là, les attaquants pourraient élever leurs privilèges à ceux de SYSTEM. Sophos a démontré ce troisième scénario d'attaque dans une vidéo vimeo.
Les chercheurs de Sophos et d'ailleurs ont souligné que les défenses de sécurité robustes que Microsoft a ajoutées à Windows 10 rendent extrêmement difficile le développement d'exploits fiables. Ces défenses sont susceptibles de provoquer le plantage de nombreuses machines ciblées et ainsi d'informer les utilisateurs ou les administrateurs qu'une tentative d'attaque est en cours.
Comment atténuer le problème sur un système où il n'est pas possible d'effectuer la mise à jour immédiatement ?
Ces atténuations ne signifient pas que la vulnérabilité SMBv3 n'est pas susceptible d'être exploitée de manière malveillante. La capacité de rétro-ingénierie du correctif de jeudi, combinée aux conséquences importantes de l'exploitation réussie de la faille, incitera probablement des attaquants hautement qualifiés à développer des attaques.
La mise à jour est fournie via Windows Update, mais elle peut également être obtenue sur le site Web du catalogue Microsoft Update ou via WSUS. Pour les systèmes où il n'est pas possible d'installer la mise à jour immédiatement, il est judicieux de suivre les conseils d'atténuation de Microsoft pour désactiver la compression SMBv3. Ces instructions de contournement incluent une commande PowerShell qui désactive la compression pour SMBv3 Server pour empêcher les attaquants d'exploiter la vulnérabilité. La solution de contournement ne protège pas les clients SMB contre les attaques, car les attaques contre les clients nécessitent un serveur malveillant et des clients se connectant à ce serveur. Les...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.