Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Windows : une faille 0-day révélée dans SMB, le correctif espéré la semaine prochaine

Les raisons de la colère
Logiciel 3 min
Windows : une faille 0-day révélée dans SMB, le correctif espéré la semaine prochaine
Crédits : weerapatkiatdumrong/iStock

Une faille 0-day existe dans Windows, plus spécialement dans la manière dont le système gère le trafic SMB. Un prototype d’exploitation est déjà en circulation, le chercheur souhaitant manifestement réveiller Microsoft, qui n’a pas proposé de solution au cours des cinq derniers mois.

Le protocole SMB (Server Message Block) est utilisé par Windows depuis longtemps pour lire et écrire des fichiers depuis des serveurs équipés du système de Microsoft. Un protocole très connu et présent, au point que son implémentation libre, Samba, se retrouve dans bon nombre de distributions Linux.

Une faille dans la gestion du trafic SMB

Mais Windows a actuellement un problème dans sa gestion du trafic SMB. Si des données sont récupérées depuis un serveur Windows malveillant, le système ne contrôle pas correctement une réponse spécifiquement conçue pour comporter un trop grand nombre d’informations, selon la structure SMBv3 TREE_CONNECT. Comme indiqué par le CERT américain, un bug de type « null pointer dereference » se manifeste alors, entrainant une corruption de la mémoire. Son score CVSS (Common Vulnerability Scoring System) est de 7,8 sur 10.

Les conséquences sont potentiellement nombreuses. La faille peut être exploitée pour provoquer le plantage des postes clients (via le fichier mrxsmb20.sys), mais également à déclencher des attaques par déni de service (DoS) à distance. La vulnérabilité est exploitable sur n’importe quelle machine sous Windows 10, Windows 8.1, Server 2016 ou Server 2012 R2, même si toutes les mises à jour ont été installées.

Une faille initialement remontée en septembre

Le problème principal de la faille est que, non seulement elle est simple à exploiter, mais que le code pour le faire est disponible sur un dépôt GitHub depuis ce week-end. Microsoft a en effet connaissance du problème depuis environ cinq mois et n’a toujours pas publié de correctif pour régler la situation. Prochain espoir, les bulletins de sécurité du 14 février.

Le chercheur qui a découvert la faille, Laurent Gaffie, a en effet remonté le bug à Microsoft en septembre dernier. Dans une réponse donnée à Ars Technica, il indique que le correctif est pourtant prêt : il devait être publié dans les bulletins de décembre, mais l’éditeur a décidé de le repousser à février pour corriger en même temps d’autres problèmes liés à SMB.

Le chercheur critique l'attitude de Microsoft

Gaffie se montre très critique à l’égard de l’éditeur, expliquant que ce n’est pas la première fois que Microsoft « s’assoit » sur ses remontées de problèmes. Il a donc décidé de publier le concept d’exploitation une semaine avant la publication supposée des correctifs : « Je travaille gratuitement avec eux dans le but d’aider leurs utilisateurs. Quand ils s’assoient sur un bug comme celui-là, ils ne les aident pas ».

Il se montre particulièrement agacé par la communication de l’entreprise. Une porte-parole avait en effet indiqué dans une réponse il y a quelques jours que Microsoft était la seule entreprise à s’engager envers ses clients sur l’investigation des rapports de bugs, et qu’il était préférable d’utiliser la combinaison Windows 10/Edge pour plus de sécurité. Mais non seulement le premier point est faux (de nombreuses sociétés examinent les remontées de sécurité), mais Windows 10 est tout autant concerné par la faille SMB.

En attendant que le correctif soit déployé, le CERT américain recommande de bloquer les connexions SMB sortantes sur les ports TCP 139 et 445, ainsi que les ports UDP 137 et 138.

31 commentaires
Avatar de DUNplus Abonné
Avatar de DUNplusDUNplus- 06/02/17 à 10:44:53

Encore un mec qui se crois plus important que tout les autre problèmes du monde.

Avatar de Sangi-kun INpactien
Avatar de Sangi-kunSangi-kun- 06/02/17 à 10:46:04

En gros, si SMB/SaMBa est bloqué au niveau du firewall sortant, c'est bon?

Avatar de Sangi-kun INpactien
Avatar de Sangi-kunSangi-kun- 06/02/17 à 10:47:12

DUNplus a écrit :

Encore un mec qui se crois plus important que tout les autre problèmes du monde.

Il souhaite simplement alerter. L'attitude de MS est moyenne si on se fie à l'article.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 06/02/17 à 10:48:16

A moins de réussir à corrompre un serveur du réseau local, c'est pas une faille très exploitable dans la vie quotidienne. SMB est rarement autorisé à franchir les routeurs/pare-feux.

Avatar de KP2 Abonné
Avatar de KP2KP2- 06/02/17 à 10:51:12

127.0.0.1 a écrit :

A moins de réussir à corrompre un serveur du réseau local, c'est pas une faille très exploitable dans la vie quotidienne. SMB est rarement autorisé à franchir les routeurs/pare-feux.

Ca fait bien longtemps que la majorité des attaques passent joyeusement les firewall...
Aujourd'hui, une attaque standard est d'envoyer un malware sur des boites mails et attendre que les utilisateurs l'execute pour ouvrir une backdoor.
A partir de là, tout est possible pour l'attaquant... Dont celui d'exploiter une faille sur un protocole foireux. A moins qu'il ne recupere joyeusement les logins/pass qui passent en clair sur un réseau interne non sécurisé comme c'est le cas la majorité du temps.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 06/02/17 à 11:00:26

Si un hacker a réussi à installer une backdoor sur un PC, je ne pense pas que cette faille soit du moindre intérêt pour lui. :D

Avatar de Zef Abonné
Avatar de ZefZef- 06/02/17 à 11:00:56

Ya une typo dans le lien, il doit manquer le http:// je pense : https://www.nextinpact.com/erreur-404?aspxerrorpath=/github.com/lgandx/Responder

Édité par Zef le 06/02/2017 à 11:03
Avatar de t1nt1n INpactien
Avatar de t1nt1nt1nt1n- 06/02/17 à 11:06:04

Ça dépend. On peut imaginer une attaque qui nécessite une interaction avec la victime pour prendre pied dans le réseau local (ex malware dans mail) pour ensuite infecter furtivement les autres machines avec une faille comme celle-ci.

Avatar de KP2 Abonné
Avatar de KP2KP2- 06/02/17 à 11:20:36

127.0.0.1 a écrit :

Si un hacker a réussi à installer une backdoor sur un PC, je ne pense pas que cette faille soit du moindre intérêt pour lui. :D

Bien sur que si... Tu ouvres une backdoor sur un PC interne et tu l'utilises comme rebond pour toutes les autres attaques vers les serveurs ou sont stockées les trucs importants. Et si tu arrives capter des accès en clair, tant mieux mais c'est pas toujours facile a faire donc tu vas utiliser des exploits sur des protocoles et des softs moisis. Et ça tombe bien car en interne, les MAJ sont pratiquement toujours à l'ouest donc c'est la fête...

Et dans ce genre de cas, le firewall qui est juste branché sur la connexion interne, la victime peux se le mettre au cul tellement il est inutile.
Aujourd'hui, c'est comme ça que ça se passe... C'est le plus simple et de loin.

Édité par KP2 le 06/02/2017 à 11:22
Avatar de jeje07bis INpactien
Avatar de jeje07bisjeje07bis- 06/02/17 à 11:41:15

KP2 a écrit :

Ca fait bien longtemps que la majorité des attaques passent joyeusement les firewall...
Aujourd'hui, une attaque standard est d'envoyer un malware sur des boites mails et attendre que les

ça j'en suis pas certain..

Il n'est plus possible de commenter cette actualité.
Page 1 / 4