Le 10 Mars 2020, une vulnérabilité 0-day sur le protocole SMBv3 vient d’être publiée.
Celle-ci est baptisée SMBGhost.
Elle peut donner la possibilité à des vers informatique d’infecter des PC.
Il s’agit du protocole de partages de fichiers utilisés dans Windows.
Ce dernier est actif par défaut et laisse donc de nombreux PC potentiellement vulnérables.
Cet article vous explique tout sur les risques de sécurité de cette faille logicielle.
Notamment la possibilité d’attaque par des vers informatiques (worms).
Table des matières
SMBv3 et la vulnérabilité CVE-2020-0796 – SMBGhost
Une vulnérabilité 0day (CVE-2020-0796) a été publiée concernant le protocole SMB3.
0day indique qu’aucun correctif de sécurité n’est encore disponible.
Voici la description :
Microsoft SMBv3 contient une vulnérabilité dans la gestion de la compression, qui peut permettre à un attaquant distant non authentifié d’exécuter du code arbitraire sur un système vulnérable.
Microsoft Server Message Block 3.1.1 (SMBv3) contient une vulnérabilité dans la façon dont il gère les connexions qui utilisent la compression. Cette vulnérabilité peut permettre à un attaquant distant non authentifié d’exécuter du code arbitraire sur un système vulnérable. Il a été signalé que cette vulnérabilité est «vermifuge».
CERT Coordination Center
Elle vise donc le protocole de partage de fichiers de Windows (SMB) que l’on utilise pour accéder à des fichiers depuis le réseau.
La partie serveur est actif par défaut sur tous les PC Windows.
Sur Windows, il s’agit du service LanmanServer.
Cela peut permettre de créer des vers informatiques qui vont tenter d’exploiter cette vulnérabilité.
Pour cela, ils vont tester si le serveur de fichiers Windows est accessibles et vulnérables.
C’est exactement le même type de vulnérabilité qui avait permis la création de WannaCry par le passé.
SMBGhost touche toutes les versions dE windows 10 > 1903
Enfin la vulnérabilité touche la partie compression du protocole.
La faille logicielle touche toutes les versions de Windows 10 à partir de la v1903.
En effet, c’est dans une fonctionnalité de SMB dans cette version qui contient la faille logicielle.
Pour le moment on ne connaît pas le degré car en cour d’investigation.
Les liens sur la publicisation de la vulnérabilité.
- L’avis de sécurité de Microsoft : ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression
- CERT Coordination Center Vulnerability Note, VU#872016
Une vidéo montre comment on peut planter un Windows 10 Server à travers un BSOD.
De ce fait sur Twitter, beaucoup de spéculation.
En rapport avec l’actualité certains veulent la nommer CoronaBlue.
Au final, elle sera nommée SMBGhost.
Limiter la vulnérabilité et faille logicielle
Microsoft n’a pas encore confirmé de mitigation de la vulnérabilité.
Mais conseille de désactiver la compression de SMBv3.
Là aussi l’article sera mis à jour après mis à jour de l’avis de sécurité de MS.
Pour ce faire :
- Faites un clic droit sur le menu Démarrer de Windows 10
- puis cliquez sur Powershell Admin
- Enfin copiez/collez la commande suivante :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Aucune redémarrage du PC n’est nécessaire.
Pour réactiver la compression, passez la commande Powershell suivante :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Il faut alors désactiver le service “serveur” (LanmanServer).
Voir la page : Comment désactiver un service Windows.
Enfin vous pouvez aussi bloquer le partage de fichiers sur le pare-feu Windows Defender.
Pour les autres pare-feu, il faut bloquer le port 445.
Corriger la vulnérabilité SMBv3
Il faut attendre que Microsoft propose un correctif de sécurité.
Il sera bien entendu déployer automatiquement par Windows Update.
L’article sera mis à jour lorsque le numéro du KB sera publiée.
EDIT – 12/03 – Microsoft a sorti un correctif KB455172.
Risque de ver informatique ?
Si l’importance de la vulnérabilité SMBGhost se confirme et sa portée permet l’exécution de code alors des vers informatiques seront mis en ligne.
En France, le risque d’infection par un vers informatique, si tant est qu’il voit le jour, est limité.
Tout simplement car les PC sont majoritairement connectés à travers des box et routeurs.
Ainsi, le serveur de fichiers n’est pas accessible directement depuis internet.
Il n’y a donc aucun lieu de paniquer.
Le risque est surtout pour les entreprises, si un PC infecté tente de diffuser le vers depuis le réseau.
On en revient alors au cas de WannaCry, puisque ce dernier se diffusait aussi à travers une vulnérabilité du protocole SMB.
Lire alors la FAQ : FAQ – WannaCry / WanaDecryptor