Nouvelle faille sur le protocole SMB pour Microsoft

Infosec mars 13, 2020

L'utilisation du SMB est quotidienne pour la quasi totalité des utilisateurs de PC. Vous pouvez retrouver un article dédié à ce protocole à cette adresse (CZS).

One more time...

Depuis un bon moment, ce protocole est décrié compte-tenu des mauvaises configurations effectuées et des problèmes engendrés (propagation de cryptolocker, vol de données...). Le 10 mars 2020, le SMB dans sa version 3 est aussi sous les feux des projecteurs, notamment de par une nouvelle faille découverte.
La version 3 apporte la compression des flux, activé par défaut dès que le SMB v3 est actif.


Concrètement, cette faille soulève un peu le même problème qu'en 2015 avec les cryptolocker. La méthode d'attaque est la suivante : L'attaquant exploite une premiere machine via un buffer overflow et peut atteindre un serveur ayant des accès SMB ouverts (par exemple un serveur de fichiers) et par la suite rebondir vers d'autres clients.

SOURCE : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-008/


Les solutions

Dans l'ordre :

  • interdire les flux TCP139 et TCP445 en entrée de votre réseau (externe vers interne).
  • comprendre le besoin et l'intérêt d'avoir les flux TCP139 et TCP445 entre les PC (si ce n'est pas utile, les bloquer)
  • mettre à jour vos Windows et Windows Server (Microsoft a publié un correctif via le Patch Tuesday et un correctif pour cette faille ce vendredi 13 mars)
  • dans certains cas, vous pouvez manuellement bloquer la compression du protocole SMB en passant par l'édition du registre :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Liens complémentaires

Mots clés

Julien HOMMET

Bercé par l'informatique depuis mon plus jeune âge, je transforme ma passion en expertise.

--}}
Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.