Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Une faille dans Windows permet une fuite des identifiants vers un serveur SMB

Petit haussement d'épaules à Redmond
Logiciel 4 min
Une faille dans Windows permet une fuite des identifiants vers un serveur SMB
Crédits : Vertigo3d/iStock

La société de sécurité Cylance a présenté hier des informations au sujet de Windows qui affecte l’ensemble des versions du système. Pour les chercheurs, la brèche est exploitable de manière presque automatisée. Pour Microsoft cependant, même si le bien-fondé de la découverte n’est pas remis en cause, il faut quand même que certaines conditions soient remplies.

Rediriger de simples requêtes vers un serveur vérolé

La faille en question est nommée « Redirect to SMB », pour Server Message Block, en général connu pour son implémentation libre Samba. Toutes les versions de Windows sont touchées, y compris Windows 10 (actuellement en développement), ainsi que les moutures pour tablettes et serveurs. Une fois exploitée, la brèche peut attirer Windows sur un serveur spécialement conçu, afin qu’il s’y connecte et livre des informations sensibles, notamment des identifiants et mots de passe.

En fait, cette faille n’est pas la première à reposer sur ce principe. Un cas similaire avait été trouvé en 1997, avec les mêmes rouages et les mêmes conséquences. Cependant, la méthode a évolué. Là où il fallait un lien sur un site ou dans un email pour mener l’utilisateur vers l’exploitation de la faille, cette dernière peut se produire sans n'avoir à recourir à la moindre action. Ce qui ne veut pas dire pour autant que la faille soit si simple à exploiter.

Microsoft a d'ailleurs indiqué à Reuters que « plusieurs facteurs sont nécessaires pour qu’une attaque de type « homme du milieu » puisse arriver ». La firme ajoute que les guides de bonne conduite en sécurité ont été mis à jour en 2009 pour « s’occuper des menaces de cette nature ». « Il y a également des fonctionnalités dans Windows, à l’instar de l’Extended Protection for Authentication, qui renforcent les défenses existantes pour gérer les identifiants de connexion réseau » ajoute l’éditeur de Redmond.

Une vieille vulnérabilité, plus simple à exploiter aujourd'hui

Ce qui n’empêche pas la faille d’avoir été ajoutée hier à la base de données CERT du Software Engineering Institute de l’université Carnegie Mellon. La fiche reprend en synthèse ce que qui était expliqué hier en détails par Cylance : les requêtes HTTP des applications Windows peuvent être transférées vers le protocole « file:// » sur un serveur spécialement conçu, auquel cas Windows tente automatiquement une authentification via SMB, si les critères sont réunis.

Cette faille a été découverte assez simplement par Cylance. Les recherches portaient initialement vers la manière dont on pouvait tromper une application faisant appel à des ressources extérieures, un cas extrêmement fréquent. Il s‘agissait dans les tests de tromper une application de messagerie et sa fonctionnalité de prévisualisation d’image. Cette dernière, au lieu de pointer vers le web classique, était située sur un serveur spécialement conçu. Devant un lien visant une image, l’application a cherché à afficher une miniature, et a entrainé une connexion de Windows au serveur, avec authentification.

cylance faille smb Windows

Selon Cylance, ce qui était possible précédemment l’est d’autant plus aujourd’hui que l’entreprise a identifié quatre API (Application Programming Interface) communes sous Windows qui peuvent être utilisées pour rediriger des requêtes HTTP/HTTPS vers SMB. La surface d’attaque est donc plus grande. Mais le danger vient également de la manière dont les logiciels et applications réalisent leurs requêtes HTTP. Adobe Reader, Apple Software Update, Internet Explorer, Media Player, Excel 2010, plusieurs antivirus, TeamViewer, Github pour Windows ou encore l’installeur Java font partie des fautifs.

Changements réguliers de mots de passe : la seule parade efficace

Mais quel est le risque finalement si les informations récupérées sont chiffrées, puisque c’est bien le cas ? Il tient justement au chiffrement utilisé, dont Cylance accuse l’âge, et pour cause : il date de 1998. Selon l’entreprise, il suffirait d’environ 3 000 dollars de matériel (essentiellement des GPU) pour casser n’importe quel mot de passe de huit caractères (majuscules et minuscules), le tout en moins d’une demi-journée. La solution proposée est donc la même finalement que celle donnée en 1997, et à laquelle Microsoft n’avait pas donné suite : désactiver l’authentification automatique vers les serveurs SMB qui ne sont pas de confiance.

Notez tout de même que ni Cylance, ni Microsoft ne sont actuellement au courant d’attaques qui utiliseraient ce vecteur. Sur la fiche du CERT, plusieurs méthodes sont fournies pour atténuer les risques d’attaques. Les développeurs et éditeurs tiers devraient ainsi éviter le protocole NTLM (NT Lan Manager) pour l’authentification de leurs logiciels. Mais rien ne remplacera la force du mot de passe protégeant le compte utilisateur : « Puisque les identifiants sont fournis à l’attaquant sous forme chiffrée, un mot de passe plus fort peut requérir plus de temps pour briser le chiffrement. Changer régulièrement les mots de passe éloigne les attaques par force brute ».

Microsoft de son côté, n'a pas précisé si un correctif était cette fois prévu. Rien n'en est moins sûr puisque la firme semble indiquer que quelques règles de base peuvent suffir à éloigner les risques.

39 commentaires
Avatar de MasterDav INpactien
Avatar de MasterDavMasterDav- 14/04/15 à 12:38:26

Ouais donc en gros, il faut:
1/ qu'un abruti ait autorisé le CIFS entre LAN et WAN sur le firewall
2/ qu'un abruti ait laissé quelqu'un installer un serveur SMB non legit dans le LAN.
En fait c'est une faille pebkac.

edit: variante du 1/ qu'un abruti ait laissé quelqu'un installer un serveur http non legit dans le LAN.

Édité par MasterDav le 14/04/2015 à 12:39
Avatar de anonyme_e9710b9f0da191d87895c18d8068aae9 INpactien

Ah bah c'est couillon, il y a quelques mois ça m'aurait bien servi de connaitre ce genre de failles pour ma migration de comptes locaux Windows, j'ai jamais trouvé comment migrer les comptes ET les mots de passe. "Si tu sais, partage " qu'y disaient. :craint:

Avatar de 46 75 63 6b 20 6f 66 66 INpactien
Avatar de 46 75 63 6b 20 6f 66 6646 75 63 6b 20 6f 66 66- 14/04/15 à 13:02:21

Ou que le firmeware d'un des objets connectés de la maison n'ait pas de mise à jour et soit infecté suite à une faille non corrigée..

Avatar de flagos_ INpactien
Avatar de flagos_flagos_- 14/04/15 à 13:05:31

L'interface chaise clavier n'a rien a voir avec le réseau mal configuré, faut arrêter avec cette interface...

Et puis un serveur http sur le lan d'un reseau d'entreprise, ca n'a rien d'extraordinaire, encore heureux que le réseau l'autorise, c'est legitime. Et puis concrètement, tu fais comment pour l'interdire (vraie question) ?

Avatar de jedipc Abonné
Avatar de jedipcjedipc- 14/04/15 à 13:07:21

Pour une migration AD 2003, j'avais utilisé ADMT.
Marchait bien. Je ne sais pas si le produit est maintenu par MS.

Edit : Oui c'est maintenu (Technet ADMT)

Édité par jedipc le 14/04/2015 à 13:09
Avatar de alex.d. Abonné
Avatar de alex.d.alex.d.- 14/04/15 à 13:15:00

Plutôt que d'interdire les serveurs SMB et http illicites, autant interdire directement les failles, vers, et virus. Ce serait plus radical, tant qu'à faire.
 

Avatar de caoua INpactien
Avatar de caouacaoua- 14/04/15 à 13:25:59

« Changer vos mdp régulièrement » n'a plus lieu d'être sous windows !
Finalement, quand tu tournes sous windows, ce n'est pas nécessaire de se protéger par un mdp, puisqu'inutile !
:troll:

Avatar de MasterDav INpactien
Avatar de MasterDavMasterDav- 14/04/15 à 13:27:35

46 75 63 6b 20 6f 66 66 a écrit :

Ou que le firmeware d'un des objets connectés de la maison n'ait pas de mise à jour et soit infecté suite à une faille non corrigée..

Dans le cas d'une attaque sur particulier, il faudrait donc 2 équipements vérolés, ce qui réduit pas mal le champ d'application.

flagos_ a écrit :

L'interface chaise clavier n'a rien a voir avec le réseau mal configuré, faut arrêter avec cette interface...

Parce que le firewall se configure tout seul peut être ? Faudrait réfléchir 2s avant de sortir des conneries.
A moins que ton firewall ait une config usine, ce qui dans certains cas ne pourrait pas être plus mal :roll:

flagos_ a écrit :

Et puis un serveur http sur le lan d'un reseau d'entreprise, ca n'a rien d'extraordinaire, encore heureux que le réseau l'autorise, c'est legitime. Et puis concrètement, tu fais comment pour l'interdire (vraie question) ?

Apprends à lire avant d'écrire. Et apprends aussi à comprendre ce dont on parle.
T'a même une belle image de démonstration, je vois pas ce qu'on peut faire de plus explicite.
Je t'ai parlé de serveur http non legit, donc un serveur http placé là par quelqu'un ayant de mauvaises intentions.
Comment l'interdire ? Sécuriser l'accès à tes locaux, ton infra, ton système et ton réseau, etc...
Le B.A.BA de la sécurité informatique que bon nombre de DSI n'ont pas le moindre début d'embryon en tête.

alexandredenis a écrit :

Plutôt que d'interdire les serveurs SMB et http illicites, autant interdire directement les failles, vers, et virus. Ce serait plus radical, tant qu'à faire.

C'est le défilé des neuneus qui savent pas lire aujourd'hui ou bien ?

Avatar de anonyme_e9710b9f0da191d87895c18d8068aae9 INpactien

Certes mais ADMT sert pour migrer des utilisateurs AD, et non des utilisateurs locaux. ;-)

Avatar de linkin623 INpactien
Avatar de linkin623linkin623- 14/04/15 à 13:51:41

J'ai pas tout compris.

En gros, en cliquant sur un lien, l'utilisateur se connecte à un serveur http, au départ "sur internet" mais en réalité situé sur le LAN.

Et Windows envoie alors tout gentil qu'il est, des identifiants SMB pour essayer d'ouvrir une session sur le serveur SMB. Mais comme c'est chiffré, c'est pas à la portée de tout le monde.

Donc en gros, un message demandant à l'utilisateur s'il veut se connecter à un SMB suffit à éviter l'envoi de données chiffrées involontaire?

Il n'est plus possible de commenter cette actualité.
Page 1 / 4