La faille Microsoft Server Message Block 3.1.1 (SMBv3) n'est présente que dans les versions 1903 et 1909 de Windows 10 32 et 64 bits pour les clients et les serveurs. Bien que la vulnérabilité soit difficile à exploiter de manière fiable, Microsoft et des chercheurs externes la considèrent comme critique, car elle ouvre de grands réseaux aux attaques dites « wormable », dans lesquelles la compromission d'une seule machine peut déclencher une réaction en chaîne qui permet d'infecter toutes les autres machines Windows. Le même scénario a été observé avec WannaCry et NotPetya en 2017.
Les versions suivantes de Microsoft Windows et Windows Server sont concernées :
Dans un bulletin en marge du Patch Tuesday, Microsoft a déclaré qu'il n'avait aucune preuve que la faille était activement exploitée, mais la société a ensuite dit que l'exploitation du bogue était probable, laissant entendre que des acteurs malveillants vont probablement développer et utiliser des exploits à l'avenir pour cibler cette faille.
Microsoft a écrit ceci :
« Il existe une vulnérabilité d'exécution de code à distance dans la façon dont le protocole Microsoft Server Message Block 3.1.1 (SMBv3) gère certaines demandes. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait gagner la possibilité d'exécuter du code sur le serveur ou le client cible.
« Pour exploiter la vulnérabilité sur un serveur, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur SMBv3 ciblé. Pour exploiter la vulnérabilité sur un client, un attaquant non authentifié devrait configurer un serveur SMBv3 illicite et convaincre un utilisateur de s'y connecter.
« La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le protocole SMBv3 traite ces demandes spécialement conçues ».
Peu de temps après la publication du correctif de Microsoft, les chercheurs de la société de sécurité Sophos ont publié une analyse qui a donné des détails sur la vulnérabilité. Ils ont expliqué que :
« La vulnérabilité implique un integer overflow et underflow dans l'un des pilotes du noyau. L'attaquant pourrait créer un paquet malveillant pour déclencher le underflow et avoir une lecture arbitraire à l'intérieur du noyau, ou déclencher le overflow et écraser un pointeur à l'intérieur du noyau. Le pointeur est ensuite utilisé comme destination pour écrire des données. Par conséquent, il est possible d'obtenir une primitive write-what-where dans l'espace d'adressage du noyau ».
Grosso modo, les attaquants avec un exploit bien écrit pourraient lire des mots de passe en texte brut ou d'autres données sensibles et pourraient également obtenir un shell de commande qui peut être utilisé pour prendre le contrôle de la machine vulnérable. EternalBlue, un exploit SMB antérieur développé par la NSA, mais qui lui a été dérobé, disposait également d'une capacité de lecture-écriture pour remplacer une fonction SMB entrante par une fonction malveillante. Cela permettait à l'attaquant d'exécuter du code malveillant la prochaine fois qu'une machine vulnérable appelait la fonction SMB.
Une faille qui peut être exploitée de plusieurs manières
Sophos a expliqué que les hackers pourraient utiliser l'exploit dans au moins trois scénarios:
Scénario 1: l'attaquant cible une machine partageant des fichiers. Si un utilisateur ou un administrateur a modifié les paramètres par défaut pour ouvrir le port 445 ou désactivé le pare-feu Windows, ou si la machine appartient à un domaine Windows, la machine est ouverte à une forme d'attaque à distance qui permet aux attaquants de prendre le contrôle.
« Il va sans dire que tout système non corrigé avec le port SMB vulnérable ouvert à l'Internet public pourrait devenir une cible d'opportunité pour une attaque wormable similaire à WannaCry », ont prévenu les chercheurs de Sophos jeudi. « Le facteur atténuant est qu'il nécessite un attaquant avec un exploit de pointe qui pourrait contourner toutes les mesures d'atténuation de la sécurité que Microsoft a intégrées à Windows 10 et que la cible a le port 445 / tcp ouvert pour les connexions entrantes ».
Scénario 2: un attaquant incite un utilisateur à se connecter à un serveur malveillant. Les attaquants pourraient utiliser des messages de spam contenant des liens qui, lorsque vous cliquez dessus, font que la machine vulnérable rejoint le réseau malveillant de l'attaquant. Avec cela, l'attaquant aurait le plein contrôle sur la machine. Une variante : l'attaquant qui a déjà un accès limité à un réseau usurpe un appareil de confiance au sein de l'organisation. Les machines qui utilisent SMBv3 pour se connecter à cette machine usurpée sont alors compromises.
Lorsque les deux variantes sont combinées, ce type d'attaque peut être utile pour obtenir un accès initial à un réseau ciblé, puis pivoter vers des machines plus privilégiées ou sensibles. Un inconvénient du point de vue de l'attaquant est que ces types d'exploits nécessitent l'ingénierie sociale d'un utilisateur ciblé.
Scénario 3: un attaquant qui obtient un accès limité à un ordinateur vulnérable par d'autres moyens, exploite la faille SMBv3 pour exécuter du code malveillant qui a les mêmes droits système que l'utilisateur ciblé. À partir de là, les attaquants pourraient élever leurs privilèges à ceux de SYSTEM. Sophos a démontré ce troisième scénario d'attaque dans une vidéo vimeo.
Les chercheurs de Sophos et d'ailleurs ont souligné que les défenses de sécurité robustes que Microsoft a ajoutées à Windows 10 rendent extrêmement difficile le développement d'exploits fiables. Ces défenses sont susceptibles de provoquer le plantage de nombreuses machines ciblées et ainsi d'informer les utilisateurs ou les administrateurs qu'une tentative d'attaque est en cours.
Comment atténuer le problème sur un système où il n'est pas possible d'effectuer la mise à jour immédiatement ?
Ces atténuations ne signifient pas que la vulnérabilité SMBv3 n'est pas susceptible d'être exploitée de manière malveillante. La capacité de rétro-ingénierie du correctif de jeudi, combinée aux conséquences importantes de l'exploitation réussie de la faille, incitera probablement des attaquants hautement qualifiés à développer des attaques.
La mise à jour est fournie via Windows Update, mais elle peut également être obtenue sur le site Web du catalogue Microsoft Update ou via WSUS. Pour les systèmes où il n'est pas possible d'installer la mise à jour immédiatement, il est judicieux de suivre les conseils d'atténuation de Microsoft pour désactiver la compression SMBv3. Ces instructions de contournement incluent une commande PowerShell qui désactive la compression pour SMBv3 Server pour empêcher les attaquants d'exploiter la vulnérabilité. La solution de contournement ne protège pas les clients SMB contre les attaques, car les attaques contre les clients nécessitent un serveur malveillant et des clients se connectant à ce serveur. Les administrateurs système peuvent exécuter la commande PowerShell suivante pour désactiver la compression sur les serveurs SMBv3. Notez que la commande doit être exécutée à partir d'une invite PowerShell élevée. :
Code PowerShell : | Sélectionner tout |
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
La modification peut être annulée en exécutant la commande suivante à partir d'une invite PowerShell élevée:
Code PowerShell : | Sélectionner tout |
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Microsoft note qu'un redémarrage n'est pas nécessaire pour effectuer la modification.
Les administrateurs système peuvent également bloquer le port TCP 445 au niveau du pare-feu de périmètre d'entreprise, car il est utilisé pour « établir une connexion avec le composant affecté » :
« Le blocage de ce port au niveau du pare-feu du périmètre du réseau aidera à protéger les systèmes qui se trouvent derrière ce pare-feu contre les tentatives d'exploitation de cette vulnérabilité. Cela peut aider à protéger les réseaux contre les attaques provenant de l'extérieur du périmètre de l'entreprise. Le blocage des ports affectés au périmètre de l'entreprise est la meilleure défense pour éviter les attaques basées sur Internet ».
Satnam Narang, Principal Research Engineer chez Tenable, commente :
« Ce ver surnommé EternalDarkness, a été initialement révélé par erreur lors du Patch Tuesday de mars par un autre fournisseur de sécurité. Le patch corrige la façon dont le protocole SMBv3 traite les demandes spécialement conçues à l'aide de la compression.
« Avant la publication du correctif, nous avions déjà vu des scripts de validation de principe pour identifier les instances vulnérables, ainsi que des tentatives d'exploitation de la faille. Avec la disponibilité du correctif, nous nous attendons à ce que ces efforts se poursuivent, car la communauté de la sécurité et les cybercriminels sont à la recherche d’un exploit fonctionnel. Étant donné que la vulnérabilité affecte des versions spécifiques de Windows 10 et Windows Server, l'impact d'un exploit fonctionnel sera moins grave que ce que nous avons vu dans le cas d'EternalBlue, qui a affecté SMBv1, et avait une empreinte beaucoup plus importante à travers le monde.
« Cependant, Microsoft corrige rarement une vulnérabilité en dehors de son cycle de correctifs normal, ce qui signifie que les organisations et les utilisateurs devraient prendre cette vulnérabilité très au sérieux. Nous exhortons vivement toutes les personnes concernées à appliquer ces correctifs dès que possible en raison de la gravité et de l'intérêt de la faille. »
Télécharger la mise à jour
Source : Microsoft, Sophos