Une faille dans Windows permet une fuite des identifiants vers un serveur SMB

La société de sécurité Cylance a présenté hier des informations au sujet de Windows qui affecte l’ensemble des versions du système. Pour les chercheurs, la brèche est exploitable de manière presque automatisée. Pour Microsoft cependant, même si le bien-fondé de la découverte n’est pas remis en cause, il faut quand même que certaines conditions soient remplies.

Rediriger de simples requêtes vers un serveur vérolé

La faille en question est nommée « Redirect to SMB », pour Server Message Block, en général connu pour son implémentation libre Samba. Toutes les versions de Windows sont touchées, y compris Windows 10 (actuellement en développement), ainsi que les moutures pour tablettes et serveurs. Une fois exploitée, la brèche peut attirer Windows sur un serveur spécialement conçu, afin qu’il s’y connecte et livre des informations sensibles, notamment des identifiants et mots de passe.

En fait, cette faille n’est pas la première à reposer sur ce principe. Un cas similaire avait été trouvé en 1997, avec les mêmes rouages et les mêmes conséquences. Cependant, la méthode a évolué. Là où il fallait un lien sur un site ou dans un email pour mener l’utilisateur vers l’exploitation de la faille, cette dernière peut se produire sans n'avoir à recourir à la moindre action. Ce qui ne veut pas dire pour autant que la faille soit si simple à exploiter.

Microsoft a d'ailleurs indiqué à Reuters que « plusieurs facteurs sont nécessaires pour qu’une attaque de type « homme du milieu » puisse arriver ». La firme ajoute que les guides de bonne conduite en sécurité ont été mis à jour en 2009 pour « s’occuper des menaces de cette nature ». « Il y a également des fonctionnalités dans Windows, à l’instar de l’Extended Protection for Authentication, qui renforcent les défenses existantes pour gérer les identifiants de connexion réseau » ajoute l’éditeur de Redmond.

Une vieille vulnérabilité, plus simple à exploiter aujourd'hui

Ce qui n’empêche pas la faille d’avoir été ajoutée hier à la base de données CERT du Software Engineering Institute de l’université Carnegie Mellon. La fiche reprend en synthèse ce que qui était expliqué hier en détails par Cylance : les requêtes HTTP des applications Windows peuvent être transférées vers le protocole « file:// » sur un serveur spécialement conçu, auquel cas Windows tente automatiquement une authentification via SMB, si les critères sont réunis.

Cette faille a été découverte assez simplement par Cylance. Les recherches portaient initialement vers la manière dont on pouvait tromper une application faisant appel à des ressources extérieures, un cas extrêmement fréquent. Il s‘agissait dans les tests de tromper une application de messagerie et sa fonctionnalité de prévisualisation d’image. Cette dernière, au lieu de pointer vers le web classique, était située sur un serveur spécialement conçu. Devant un lien visant une image, l’application a cherché à afficher une miniature, et a entrainé une connexion de Windows au serveur, avec authentification.

Selon Cylance, ce qui était possible précédemment l’est d’autant plus aujourd’hui que l’entreprise a identifié quatre API (Application Programming Interface) communes sous Windows qui peuvent être utilisées pour rediriger des requêtes HTTP/HTTPS vers SMB. La surface d’attaque est donc plus grande. Mais le danger vient également de la manière dont les logiciels et applications réalisent leurs requêtes HTTP. Adobe Reader, Apple Software Update, Internet Explorer, Media Player, Excel 2010, plusieurs antivirus, TeamViewer, Github pour Windows ou encore l’installeur Java font partie des fautifs.

Changements réguliers de mots de passe : la seule parade efficace

Mais quel est le risque finalement si les informations récupérées sont chiffrées, puisque c’est bien le cas ? Il tient justement au chiffrement utilisé, dont Cylance accuse l’âge, et pour cause : il date de 1998. Selon l’entreprise, il suffirait d’environ 3 000 dollars de matériel (essentiellement des GPU) pour casser n’importe quel mot de passe de huit caractères (majuscules et minuscules), le tout en moins d’une demi-journée. La solution proposée est donc la même finalement que celle donnée en 1997, et à laquelle Microsoft n’avait pas donné suite : désactiver l’authentification automatique vers les serveurs SMB qui ne sont pas de confiance.

Notez tout de même que ni Cylance, ni Microsoft ne sont actuellement au courant d’attaques qui utiliseraient ce vecteur. Sur la fiche du CERT, plusieurs méthodes sont fournies pour atténuer les risques d’attaques. Les développeurs et éditeurs tiers devraient ainsi éviter le protocole NTLM (NT Lan Manager) pour l’authentification de leurs logiciels. Mais rien ne remplacera la force du mot de passe protégeant le compte utilisateur : « Puisque les identifiants sont fournis à l’attaquant sous forme chiffrée, un mot de passe plus fort peut requérir plus de temps pour briser le chiffrement. Changer régulièrement les mots de passe éloigne les attaques par force brute ».

Microsoft de son côté, n'a pas précisé si un correctif était cette fois prévu. Rien n'en est moins sûr puisque la firme semble indiquer que quelques règles de base peuvent suffir à éloigner les risques.