Gestion du document
Origine: bjCSIRT
Numéro: 2020/ALERTE/008
Date de l’alerte: 11/03/2020
TLP: White
Aperçu de la menace
Libellée CVE-2020-0768, Microsoft SMBv3 contient une vulnérabilité sur la gestion de la compression : ceci peut permettre à un attaquant distant non authentifié d’exécuter du code arbitraire sur un système vulnérable.
Description
SMB est un protocole de partage de fichiers réseau qui permet aux ordinateurs clients d’accéder aux fichiers sur des serveurs. La vulnérabilité d’exécution de code à distance existe dans la façon dont le protocole SMB 3.1.1 (SMBv3) gère certaines requêtes. Grâce à cela, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur SMBv3 ciblé ou pourrait configurer un serveur SMBv3 illicite et convaincre un utilisateur de se connecter au serveur avec un client SMBv3. Une attaque réussie permettrait à un attaquant non authentifié d’exécuter du code sur le serveur ou le client ciblé.
Le problème affecte uniquement SMBv3, qui est la dernière version du protocole et n’est inclus qu’avec les versions récentes de Windows.
Impact
En se connectant à une machine Windows vulnérable à l’aide de SMBv3 ou en amenant un système Windows vulnérable à initier une connexion client à un serveur SMBv3, un attaquant distant non authentifié pourrait exécuter du code arbitraire avec les privilèges SYSTEM sur un système vulnérable. L’impact de cette vulnérabilité est jugé Critique.
Mesures à prendre
Jusqu’à ce qu’un correctif soit disponible, Microsoft conseille aux administrateurs les mesures d’atténuation suivantes :
1.a. Désactiver la compression SMBv3 sur les serveurs.
i. Avec la commande PowerShell ci-dessous :
Set-ItemProperty -Path « HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters » DisableCompression -Type DWORD -Value 1 -Force
ii. Suite à la publication et installation du correctif de sécurité :
Vous pourrez réactiver le SMB V3 avec la commande PowerShell ci-dessous :
Set-ItemProperty -Path « HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters » DisableCompression -Type DWORD -Value 0 -Force
1.b. Bloquer les connections SMB entrantes et sortantes
Bloquez les connexions SMB sortantes (port TCP 445 pour SMBv3) du réseau local au WAN. Assurez-vous également que les connexions SMB à partir d’Internet ne sont pas autorisées à se connecter au réseau local.
Remarque : Aucun redémarrage n’est nécessaire après avoir désactivé ou réactivé le protocole SMBV3.
Toutefois ces solutions de contournement n’empêchent pas l’exploitation des postes clients SMB.
2. Bloquer le port TCP 445 au niveau du pare-feu edge
Ceci aidera à protéger les systèmes qui se trouvent derrière ce pare-feu contre les tentatives d’exploitation de cette vulnérabilité. Cela peut aider à protéger les réseaux contre les attaques provenant de l’extérieur du périmètre du réseau interne. Le blocage des ports affectés au périmètre du réseau est la meilleure défense afin éviter les attaques provenant d’Internet.
Cependant, les systèmes pourraient toujours être vulnérables aux attaques émises à partir du réseau interne. Microsoft propose des informations plus détaillées concernant la protection des postes clients dans son avis de sécurité intitulé ADV200005 : Microsoft Guidance for Disabling SMBv3 Compression disponible à partir du lien :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
Versions affectées
- Windows Server version 1903 (installation Server Core)
- Windows Server version 1909 (installation Server Core)
- Windows 10 version 1903 pour systèmes 32 bits
- Windows 10 version 1903 pour les systèmes ARM64
- Windows 10 version 1903 pour systèmes x64
- Windows 10 version 1909 pour systèmes 32 bits
- Windows 10 version 1909 pour les systèmes ARM64
- Windows 10 version 1909 pour les systèmes x64
Lien Utiles
- https://kb.cert.org/vuls/id/872016/
- https://duo.com/decipher/microsoft-advisory-warns-of-smbv3-flaw
- https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections
- https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
- https://borncity.com/win/2020/03/11/windows-smbv3-0-day-vulnerability-cve-2020-0796/