Exécution de code arbitraire à distance sur SMBv3

Gestion du document

Origine: bjCSIRT

Numéro: 2020/ALERTE/008

Date de l’alerte: 11/03/2020

TLP: White

 

Aperçu de la menace

Libellée CVE-2020-0768, Microsoft SMBv3 contient une vulnérabilité sur la gestion de la compression : ceci peut permettre à un attaquant distant non authentifié d’exécuter du code arbitraire sur un système vulnérable.

 

Description

SMB est un protocole de partage de fichiers réseau qui permet aux ordinateurs clients d’accéder aux fichiers sur des serveurs. La vulnérabilité d’exécution de code à distance existe dans la façon dont le protocole SMB 3.1.1 (SMBv3) gère certaines requêtes.  Grâce à cela, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur SMBv3 ciblé ou pourrait configurer un serveur SMBv3 illicite et convaincre un utilisateur de se connecter au serveur avec un client SMBv3. Une attaque réussie permettrait à un attaquant non authentifié d’exécuter du code sur le serveur ou le client ciblé.

Le problème affecte uniquement SMBv3, qui est la dernière version du protocole et n’est inclus qu’avec les versions récentes de Windows.

 

Impact

En se connectant à une machine Windows vulnérable à l’aide de SMBv3 ou en amenant un système Windows vulnérable à initier une connexion client à un serveur SMBv3, un attaquant distant non authentifié pourrait exécuter du code arbitraire avec les privilèges SYSTEM sur un système vulnérable. L’impact de cette vulnérabilité est jugé Critique.

 

Mesures à prendre

Jusqu’à ce qu’un correctif soit disponible, Microsoft conseille aux administrateurs les mesures d’atténuation suivantes :

1.a. Désactiver la compression SMBv3 sur les serveurs.

i. Avec la commande PowerShell ci-dessous :

Set-ItemProperty -Path « HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters » DisableCompression -Type DWORD -Value 1 -Force

 

ii. Suite à la publication et installation du correctif de sécurité :

Vous pourrez  réactiver le SMB V3 avec la commande PowerShell ci-dessous :

Set-ItemProperty -Path « HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters » DisableCompression -Type DWORD -Value 0 -Force

 

1.b. Bloquer les connections SMB entrantes et sortantes

Bloquez les connexions SMB sortantes (port TCP 445 pour SMBv3) du réseau local au WAN. Assurez-vous également que les connexions SMB à partir d’Internet ne sont pas autorisées à se connecter au réseau local.

Remarque : Aucun redémarrage n’est nécessaire après avoir désactivé ou réactivé le protocole SMBV3.

Toutefois ces solutions de contournement n’empêchent pas l’exploitation des postes clients SMB.

 

2. Bloquer le port TCP 445 au niveau du pare-feu edge

Ceci aidera à protéger les systèmes qui se trouvent derrière ce pare-feu contre les tentatives d’exploitation de cette vulnérabilité. Cela peut aider à protéger les réseaux contre les attaques provenant de l’extérieur du périmètre du réseau interne. Le blocage des ports affectés au périmètre du réseau est la meilleure défense afin éviter les attaques provenant d’Internet.

Cependant, les systèmes pourraient toujours être vulnérables aux attaques émises à partir du réseau interne. Microsoft propose des informations plus détaillées concernant la protection des postes clients dans son avis de sécurité intitulé ADV200005 : Microsoft Guidance for Disabling SMBv3 Compression disponible à partir du lien :

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

 

Versions affectées

  • Windows Server version 1903 (installation Server Core)
  • Windows Server version 1909 (installation Server Core)
  • Windows 10 version 1903 pour systèmes 32 bits
  • Windows 10 version 1903 pour les systèmes ARM64
  • Windows 10 version 1903 pour systèmes x64
  • Windows 10 version 1909 pour systèmes 32 bits
  • Windows 10 version 1909 pour les systèmes ARM64
  • Windows 10 version 1909 pour les systèmes x64

 

Lien Utiles

  • https://kb.cert.org/vuls/id/872016/
  • https://duo.com/decipher/microsoft-advisory-warns-of-smbv3-flaw
  • https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections
  • https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/
  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
  • https://borncity.com/win/2020/03/11/windows-smbv3-0-day-vulnerability-cve-2020-0796/

 

Partagez sur vos réseaux.