SMBleed : Vulnérabilité critique affectant le protocole Windows SMB

Gestion du document

Origine: bjCSIRT

Numéro: 2020/ALERTE/012

Date de l’alerte: 10/06/2020

TLP: White

 

Aperçu de la menace

Libellée CVE-2020-1206, SMBleed est une nouvelle vulnérabilité critique affectant le protocole Server Message Block (SMB) qui pourrait permettre à un attaquant de divulguer la mémoire du noyau à distance. Lorsqu’elle est combinée avec le bogue SMBGhost, la faille peut être exploitée pour réaliser des attaques d’exécution de code à distance. Le bogue SMBGhost s’est produit en raison du manque de vérifications de dépassement d’entier mais il a été récemment corrigé par Microsoft.

 

Description

Surnommée SMBleed par la firme de cybersécurité ZecOps, la faille réside dans la fonction de décompression de SMB, la même fonction qu’avec SMBGhost, qui exposerait les systèmes Windows vulnérables aux attaques de logiciels malveillants pouvant se propager sur les réseaux.

SMB, qui s’exécute sur le port TCP 445, est un protocole réseau qui fournit la base du partage de fichiers, de la navigation réseau, des services d’impression et de la communication interprocessus sur un réseau. La faille SMBleed provient de la manière dont la fonction de décompression « Srv2DecompressData » gère les demandes de message spécialement conçues (par exemple, SMB2 WRITE) et envoyées à un serveur SMBv3 ciblé, permettant à un attaquant de lire la mémoire du noyau non initialisée et d’apporter des modifications à la fonction de compression.

La structure du message contient des champs tels que la quantité d’octets à écrire et les indicateurs, suivi d’un tampon de longueur variable« . Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir des informations susceptibles de compromettre davantage le système de la victime. Pour exploiter cette vulnérabilité contre un serveur, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu vers un serveur SMBv3 ciblé. Par contre, pour exploiter la vulnérabilité contre un client, un attaquant non authentifié devrait configurer un serveur SMBv3 illicite et convaincre un utilisateur de s’y connecter. SMBleed peut être détecté de plusieurs manières, y une analyse du trafic réseau.

 

Risques

  • Exécution de code à distance ;

 

Systèmes affectés

  • Windows 10 Version 1903 (Mises à jour KB4551762, KB4512941)
  • Windows 10 Version 1909 (Mise à jour avant KB4551762)
  • Windows 10 Version 2004 (Mise à jour avant KB4557957)

 

Mesures à prendre

SMBleed peut être mitigé en effectuant une ou plusieurs des opérations suivantes :

  • la mise à jour de Windows résoudra complètement la vulnérabilité (recommandé) ;
  • le blocage du port 445 ;
  • l’application de l’isolement de l’hôte (machine client ou serveur) ;
  • la désactivation de la fonction de compression SMB 3.1.1 (pas une solution recommandée).

 

Lien Utiles

  • https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html?m=1#click=https://t.c/DcF5pumvvM
  • https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/
  • https://github.com/chompie1337/SMBGhost_RCE_PoC

 

Partagez sur vos réseaux.