Serveur d'impression

Microsoft Advisory met en garde contre une faille SMBv3 – Bien choisir son serveur d impression

Le 13 mars 2020 - 8 minutes de lecture

Microsoft a publié une mise à jour de sécurité hors bande corrigeant la vulnérabilité d'exécution de code à distance affectant le protocole Microsoft Server Message Block 3.1.1 (SMBv3). La vulnérabilité critique, qui existe dans la façon dont SMBv3 gère certaines demandes, a été révélée plus tôt dans la semaine, ainsi que des recommandations pour désactiver la compression SMBv3 dans SMB Server et bloquer le trafic SMB dans le pare-feu.

La vulnérabilité a reçu un score maximum de 10 sur le système Common Vulnerability Scoring System (CVSS), soulignant la gravité de la faille. Microsoft a déclaré que la vulnérabilité n'avait pas encore été exploitée dans la nature, mais a averti que l'exploitation était probable. Les administrateurs doivent appliquer le correctif dès que possible ou implémenter les solutions de contournement pour les systèmes (décrits ci-dessous) qui ne peuvent pas être mis à jour immédiatement.

Comme indiqué plus tôt dans la semaine, cette vulnérabilité peut être exploitée par un ver, ce qui signifie que le malware pourrait se déplacer de système en système sans intervention de l'utilisateur. Les ransomwares WannaCry et NotPetya ont pu infecter de nombreux systèmes au cours de leurs épidémies respectives en raison du nombre de systèmes qui n'avaient pas été corrigés, même si Microsoft avait publié les correctifs des mois plus tôt.

Les retards dans l'application de la mise à jour pour CVE-2020-0796 peuvent entraîner une épidémie de vers similaire.

Cette histoire a été mise à jour. L'histoire originale a été publiée le 10 mars 2020:

Microsoft a émis un avertissement de sécurité concernant une vulnérabilité dans le protocole Microsoft Server Message Block (SMB). Jusqu'à ce qu'un correctif soit disponible, il est conseillé aux administrateurs de désactiver la compression SMBv3 sur leurs serveurs.

La faille de sécurité, identifiée comme CVE-2020-0796, n'était pas incluse dans les versions de Patch Tuesday de mars. Les détails du bogue ont été publiés accidentellement et Microsoft a suivi les conseils de sécurité et les conseils techniques. Il n'y a actuellement aucun calendrier publié pour savoir quand la mise à jour de ce numéro sera disponible.

Une vulnérabilité d'exécution de code à distance existe dans la façon dont le protocole SMB 3.1.1 (SMBv3) gère certaines demandes, a déclaré Microsoft dans son avis. SMB est un protocole de partage de fichiers réseau qui permet aux ordinateurs clients d'accéder aux fichiers sur les serveurs. Avec cette vulnérabilité, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur SMBv3 ciblé, a déclaré Microsoft. Ou un attaquant pourrait configurer un serveur SMBv3 illicite et convaincre un utilisateur de se connecter au serveur avec un client SMBv3. Une attaque réussie permettrait à un attaquant non authentifié d'exécuter du code sur le serveur ou le client ciblé.

Le problème affecte uniquement SMBv3, qui est la dernière version du protocole et n'est inclus qu'avec les versions récentes de Windows. Il semble que seuls Windows 10 v1903, Windows 10 v1909, Windows Server v1903 et Windows Server v1909 soient affectés.

Il n'y avait aucune preuve que la vulnérabilité avait été exploitée dans la nature, a déclaré Microsoft dans l'avis.

Divulgation désynchronisée

Même si la version Patch Tuesday ne mentionnait pas cette vulnérabilité, les détails du bogue ont été publiés accidentellement. On ne sait pas exactement ce qui s'est passé, mais Microsoft partage des informations sur les mises à jour de sécurité avec des partenaires de confiance tels que les sociétés antivirus et les fournisseurs de matériel via son programme Microsoft Active Protections Program. Il est possible que les partenaires n'aient pas réalisé que la vulnérabilité ne faisait pas partie de la version finale et ont partagé ce qu'ils savaient lorsque les mises à jour de Patch Tuesday ont été publiées.

Alors que Cisco Talos et Fortinet ont mis à jour leurs avis pour supprimer les références à la vulnérabilité, suffisamment de personnes ont vu les descriptions. Fortinet a décrit le problème comme une «vulnérabilité de débordement de tampon dans les serveurs Microsoft SMB» et a déclaré qu'un attaquant distant non authentifié pourrait exploiter la faille pour exécuter du code arbitraire dans le contexte de l'application.

Cisco Talos a déclaré dans sa description désormais supprimée qu'une attaque «vermifuge» serait en mesure d'exploiter la vulnérabilité pour «passer d'une victime à l'autre».

La dernière fois qu'il y avait un défaut vermifuge dans SMB, il y avait l'exploit EternalBlue. Les ransomwares WannaCry et NotPetya ont utilisé EternalBlue pour infecter les systèmes du monde entier en 2017. Puisqu'il n'y a pas de code d'exploitation pour cette faille SMBv3 publié à ce moment, le risque d'exploitation reste faible. Mais lorsqu'une mise à jour devient disponible, les administrateurs doivent s'assurer d'appliquer ce correctif ou de prendre les mesures appropriées pour protéger leurs systèmes.

Atténuation

"Parce que SMB est un système de fichiers distant, il nécessite une protection contre les attaques où un ordinateur Windows pourrait être amené à contacter un serveur malveillant s'exécutant à l'intérieur d'un réseau de confiance ou à un serveur distant en dehors du périmètre du réseau", a déclaré Microsoft dans son article de la base de connaissances répertoriant divers meilleures pratiques et configurations de pare-feu pour les administrateurs. Ces solutions de contournement peuvent aider à protéger les systèmes jusqu'à ce qu'une mise à jour soit disponible, mais il existe des situations où ces solutions de contournement ne fonctionneront pas.

Les administrateurs peuvent utiliser PowerShell pour désactiver la compression SMBv3 afin d'empêcher les attaquants non authentifiés d'exploiter la vulnérabilité contre un serveur SMBv3. Cependant, la désactivation de la compression SMBv3 sur le serveur ne bloquerait pas les attaques contre le client SMBv3.

Les administrateurs doivent également bloquer le port TCP 445 du pare-feu de périmètre d'entreprise pour empêcher les attaquants extérieurs au réseau d'exploiter la vulnérabilité. Cependant, cela n'aiderait pas si les attaquants sont déjà dans le réseau. Les organisations peuvent autoriser l'accès au port 445 à des plages d'adresses IP Azure Datacenter spécifiques dans les cas où les clients locaux utilisent le port SMB pour se connecter au stockage de fichiers Azure.

«Le blocage de ce port au niveau du pare-feu du périmètre du réseau aidera à protéger les systèmes qui se trouvent derrière ce pare-feu contre les tentatives d'exploitation de cette vulnérabilité», a déclaré Microsoft.

Les administrateurs peuvent bloquer tout le trafic SMB entrant à l'aide du pare-feu Windows Defender sur les clients et serveurs Windows qui n'hébergent pas de partages SMB pour empêcher les connexions à distance de périphériques malveillants ou compromis. L'article de la base de connaissances fournit des exemples de règles.

Enfin, Microsoft a également publié des directives pour empêcher le trafic SMB de quitter l'environnement de l'entreprise. Les administrateurs devraient "bloquer les communications non sollicitées (depuis Internet) et le trafic sortant (vers Internet)" vers les ports 137, 138, 139 et 445, a déclaré Microsoft. Ces ports sont associés au protocole SMB, mais leur blocage peut également affecter d'autres applications et services, tels que les applications qui utilisent SMB (CIFS), la stratégie de groupe, le spouleur d'impression et les journaux et alertes de performances.

Le trafic SMB devrait être limité aux réseaux privés ou aux réseaux privés virtuels (VPN), a déclaré Microsoft.

"Pour aider à prévenir les attaques qui pourraient utiliser d'autres ports, nous vous recommandons de bloquer toutes les communications non sollicitées sur Internet", a déclaré Microsoft, suggérant de configurer une règle de refus général (refuser tout) sur le pare-feu, puis d'autoriser explicitement des services spécifiques tels que DNS, HTTP, HTTPS et SMTP.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.