Une faille 0-day existe dans Windows, plus spécialement dans la manière dont le système gère le trafic SMB. Un prototype d’exploitation est déjà en circulation, le chercheur souhaitant manifestement réveiller Microsoft, qui n’a pas proposé de solution au cours des cinq derniers mois.
Le protocole SMB (Server Message Block) est utilisé par Windows depuis longtemps pour lire et écrire des fichiers depuis des serveurs équipés du système de Microsoft. Un protocole très connu et présent, au point que son implémentation libre, Samba, se retrouve dans bon nombre de distributions Linux.
Une faille dans la gestion du trafic SMB
Mais Windows a actuellement un problème dans sa gestion du trafic SMB. Si des données sont récupérées depuis un serveur Windows malveillant, le système ne contrôle pas correctement une réponse spécifiquement conçue pour comporter un trop grand nombre d’informations, selon la structure SMBv3 TREE_CONNECT. Comme indiqué par le CERT américain, un bug de type « null pointer dereference » se manifeste alors, entrainant une corruption de la mémoire. Son score CVSS (Common Vulnerability Scoring System) est de 7,8 sur 10.
Les conséquences sont potentiellement nombreuses. La faille peut être exploitée pour provoquer le plantage des postes clients (via le fichier mrxsmb20.sys), mais également à déclencher des attaques par déni de service (DoS) à distance. La vulnérabilité est exploitable sur n’importe quelle machine sous Windows 10, Windows 8.1, Server 2016 ou Server 2012 R2, même si toutes les mises à jour ont été installées.
Une faille initialement remontée en septembre
Le problème principal de la faille est que, non seulement elle est simple à exploiter, mais que le code pour le faire est disponible sur un dépôt GitHub depuis ce week-end. Microsoft a en effet connaissance du problème depuis environ cinq mois et n’a toujours pas publié de correctif pour régler la situation. Prochain espoir, les bulletins de sécurité du 14 février.
Le chercheur qui a découvert la faille, Laurent Gaffie, a en effet remonté le bug à Microsoft en septembre dernier. Dans une réponse donnée à Ars Technica, il indique que le correctif est pourtant prêt : il devait être publié dans les bulletins de décembre, mais l’éditeur a décidé de le repousser à février pour corriger en même temps d’autres problèmes liés à SMB.
Le chercheur critique l'attitude de Microsoft
Gaffie se montre très critique à l’égard de l’éditeur, expliquant que ce n’est pas la première fois que Microsoft « s’assoit » sur ses remontées de problèmes. Il a donc décidé de publier le concept d’exploitation une semaine avant la publication supposée des correctifs : « Je travaille gratuitement avec eux dans le but d’aider leurs utilisateurs. Quand ils s’assoient sur un bug comme celui-là, ils ne les aident pas ».
Il se montre particulièrement agacé par la communication de l’entreprise. Une porte-parole avait en effet indiqué dans une réponse il y a quelques jours que Microsoft était la seule entreprise à s’engager envers ses clients sur l’investigation des rapports de bugs, et qu’il était préférable d’utiliser la combinaison Windows 10/Edge pour plus de sécurité. Mais non seulement le premier point est faux (de nombreuses sociétés examinent les remontées de sécurité), mais Windows 10 est tout autant concerné par la faille SMB.
En attendant que le correctif soit déployé, le CERT américain recommande de bloquer les connexions SMB sortantes sur les ports TCP 139 et 445, ainsi que les ports UDP 137 et 138.
Commentaires (31)
#1
Encore un mec qui se crois plus important que tout les autre problèmes du monde.
#2
En gros, si SMB/SaMBa est bloqué au niveau du firewall sortant, c’est bon?
#3
#4
A moins de réussir à corrompre un serveur du réseau local, c’est pas une faille très exploitable dans la vie quotidienne. SMB est rarement autorisé à franchir les routeurs/pare-feux.
#5
#6
Si un hacker a réussi à installer une backdoor sur un PC, je ne pense pas que cette faille soit du moindre intérêt pour lui. " />
#7
Ya une typo dans le lien, il doit manquer le http:// je pense : https://www.nextinpact.com/erreur-404?aspxerrorpath=/github.com/lgandx/Responder
#8
Ça dépend. On peut imaginer une attaque qui nécessite une interaction avec la victime pour prendre pied dans le réseau local (ex malware dans mail) pour ensuite infecter furtivement les autres machines avec une faille comme celle-ci.
#9
#10
#11
ne penses pas + moindre = négation qui s’annule : phrase positive : notre ami à juste rajouter une pointe d’ironie en voulant dire que cette faille peut très bien servir à un hacker " />
#12
Et là lorsqu’on demande à microsoft une alternative à SMB, un ange passe.
Note: avant de conseiller nfs ou cifs, vérifier sa capacité d’implémentation.
#13
#14
Tu dirais que les problèmes avec CIF sont récurant ?
#15
" /> " />
#16
#17
#18
#19
Le problème avec Microsoft c’est qu’il ne corrige les failles que un jour par mois (le deuxième mardi du mois).
Peu importe la grandeur de la faille, quand il y en à une est qu’elle est corrigée la moindre des choses, c’est de la déployer. Microsoft est (très) mauvais de ce coté là.
#20
#21
#22
Donc si il existe une faille 0 day le 15 février, il faut prier pour que la faille ne soit pas exploitée chez moi (pas en entreprise) si Microsoft estime que cela n’est pas grave.
Pas très génial comme solution. Je suis pas non plus pour mettre en exploitation immédiatement les patchs, il y a un juste milieux entre le jour même et un mois.
Chez moi (dons pas en entreprise) je préfère que mes systèmes soit à jour en terme de sécurité. C’est pourquoi j’ai 3 de mes machines sur 4 sous GNU\Linux (Windows c’est juste pour jouer).
Et en plus je n’ai pas à redémarrer quand j’applique les mises à jour sous GNU\Linux " />.
#23
#24
Exemple concret d’utilisation : tu n’est pas obliger de quitter un programme qui peut bosser plusieurs jours à cause d’une mise à jour d’une librairie qui n’a rien à voir avec le dit programme. Les services redémarrent automatiquement.
Des serveurs sous GNU\LINUx (Debian par exemple) peuvent tourner des années sans être redémarrer et pourtant ils sont à jour dans leur bibliothèques (seul la mise à jour de noyau demande de redémarrer et encore il est possible de faire sans).
#25
#26
Lit le message précédent.
J’ai deux Debian et la mise à jour de Kernel arrive 4 à 5 fois par an donc la je redémarre mais dans 99% du temps le redémarrage complet de la machine est inutile.
#27
#28
Windows 0 Day.
#29
Il suffit qu’un internaute ne prennent pas assez attention à ce qu’il reçoit, ne fasse rien, soit infecté et lorsqu’il envoie des courriels il infecte ses destinataires, c’est un grand classique qui est exploité.
Il n’y a pas - obligatoirement - un intérêt à créer une telle saloperie, le plaisir de faire chier suffit à son créateur.
#30
#31