Vulnérabilité SMBv3 (CVE-2020-0796) – SMBGhost risque de de sécurité

Le 10 Mars 2020, une vulnérabilité 0-day sur le protocole SMBv3 vient d'être publiée.
Celle-ci est baptisée SMBGhost.

Elle peut donner la possibilité à des vers informatique d'infecter des PC.
Il s'agit du protocole de partages de fichiers utilisés dans Windows.
Ce dernier est actif par défaut et laisse donc de nombreux PC potentiellement vulnérables.

Cet article vous explique tout sur les risques de sécurité de cette faille logicielle.
Notamment la possibilité d'attaque par des vers informatiques (worms).

Vulnérabilité SMB3 (CVE-2020-0796) et risque de de sécurité
Vulnérabilité SMBv3 (CVE-2020-0796) et risque de de sécurité

SMBv3 et la vulnérabilité CVE-2020-0796 - SMBGhost

Une vulnérabilité 0day (CVE-2020-0796) a été publiée concernant le protocole SMB3.
0day indique qu'aucun correctif de sécurité n'est encore disponible.

Voici la description :

Microsoft SMBv3 contient une vulnérabilité dans la gestion de la compression, qui peut permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur un système vulnérable.

Microsoft Server Message Block 3.1.1 (SMBv3) contient une vulnérabilité dans la façon dont il gère les connexions qui utilisent la compression. Cette vulnérabilité peut permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur un système vulnérable. Il a été signalé que cette vulnérabilité est «vermifuge».

CERT Coordination Center

Elle vise donc le protocole de partage de fichiers de Windows (SMB) que l'on utilise pour accéder à des fichiers depuis le réseau.
La partie serveur est actif par défaut sur tous les PC Windows.
Sur Windows, il s'agit du service LanmanServer.

Le service LanmanServer utilise le protocole SMB visé par la vulnérabilité.

Cela peut permettre de créer des vers informatiques qui vont tenter d'exploiter cette vulnérabilité.
Pour cela, ils vont tester si le serveur de fichiers Windows est accessibles et vulnérables.
C'est exactement le même type de vulnérabilité qui avait permis la création de WannaCry par le passé.

SMBGhost touche toutes les versions dE windows 10 > 1903

Enfin la vulnérabilité touche la partie compression du protocole.
La faille logicielle touche toutes les versions de Windows 10 à partir de la v1903.
En effet, c'est dans une fonctionnalité de SMB dans cette version qui contient la faille logicielle.
Pour le moment on ne connaît pas le degré car en cour d'investigation.

Vulnérabilité SMBv3 - toutes les versions de Windows 10 touchées

Les liens sur la publicisation de la vulnérabilité.

Cette vulnérabilité SMB3 étant en cours d'investigation, l'article sera édité lorsque de nouvelles informations seront publiées

Une vidéo montre comment on peut planter un Windows 10 Server à travers un BSOD.

De ce fait sur Twitter, beaucoup de spéculation.
En rapport avec l'actualité certains veulent la nommer CoronaBlue.
Au final, elle sera nommée SMBGhost.

Limiter la vulnérabilité et faille logicielle

Microsoft n'a pas encore confirmé de mitigation de la vulnérabilité.
Mais conseille de désactiver la compression de SMBv3.
Là aussi l'article sera mis à jour après mis à jour de l'avis de sécurité de MS.

Pour ce faire :

  • Faites un clic droit sur le menu Démarrer de Windows 10
  • puis cliquez sur Powershell Admin
  • Enfin copiez/collez la commande suivante :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Aucune redémarrage du PC n'est nécessaire.

Pour réactiver la compression, passez la commande Powershell suivante :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Bien entendu, si vous n'utilisez pas le partage de fichiers, vous pouvez tout simplement désactiver ce dernier.
Il faut alors désactiver le service "serveur" (LanmanServer).
Voir la page : Comment désactiver un service Windows.

Enfin vous pouvez aussi bloquer le partage de fichiers sur le pare-feu Windows Defender.
Pour les autres pare-feu, il faut bloquer le port 445.

Corriger la vulnérabilité SMBv3

Il faut attendre que Microsoft propose un correctif de sécurité.
Il sera bien entendu déployer automatiquement par Windows Update.
L'article sera mis à jour lorsque le numéro du KB sera publiée.

EDIT - 12/03 - Microsoft a sorti un correctif KB455172.

Risque de ver informatique ?

Si l'importance de la vulnérabilité SMBGhost se confirme et sa portée permet l'exécution de code alors des vers informatiques seront mis en ligne.

En France, le risque d'infection par un vers informatique, si tant est qu'il voit le jour, est limité.
Tout simplement car les PC sont majoritairement connectés à travers des box et routeurs.
Ainsi, le serveur de fichiers n'est pas accessible directement depuis internet.
Il n'y a donc aucun lieu de paniquer.

Le risque est surtout pour les entreprises, si un PC infecté tente de diffuser le vers depuis le réseau.

On en revient alors au cas de WannaCry, puisque ce dernier se diffusait aussi à travers une vulnérabilité du protocole SMB.
Lire alors la FAQ : FAQ – WannaCry / WanaDecryptor