Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vulnérabilité d’exécution de code à distance dans Microsoft SMBv3

mars 2020 par Satnam Narang, Principal Research Engineer, chez Tenable

Microsoft a publié ADV200005, un avis de sécurité pour une vulnérabilité critique d’exécution de code à distance dans Microsoft Server Message Block 3.1.1 (SMBv3).

Satnam Narang, Principal Research Engineer, chez Tenable commente : « Un cybercriminel non authentifié pourrait exploiter la faille en envoyant au serveur SMBv3 vulnérable un paquet conçu à cet effet. Pour le moment, aucun correctif n’est disponible. Cependant, Microsoft a fourni des instructions de contournement pour empêcher les pirates informatiques d’exploiter la vulnérabilité, notamment la désactivation de la compression pour SMBv3 ainsi que le blocage du port TCP 445 au niveau du pare-feu de périmètre. Microsoft prévient que ces correctifs n’empêchent que l’exploitation potentielle côté serveur et ne protègent pas les clients SMB vulnérables. Microsoft note que pour exploiter un client SMB, l’attaquant devrait configurer un serveur SMB malveillant et convaincre les utilisateurs de s’y connecter.

La vulnérabilité a été initialement révélée accidentellement dans le cadre du Patch Tuesday de Mars dans un autre blog du fournisseur de sécurité. Peu après cette divulgation, les références à celle-ci ont été supprimées de l’article de blog. La faille a été identifiée comme CVE-2020-0796, bien qu’il ne soit pas clair si Microsoft utilisera ou non cet identifiant une fois son correctif publié.

Cette dernière vulnérabilité rappelle EternalBlue, notamment CVE-2017-0144, une vulnérabilité d’exécution de code à distance dans SMBv1 qui a été utilisée dans le cadre des attaques de ransomware WannaCry. Une comparaison pertinente au point que les chercheurs l’appellent EternalDarkness. Cependant, peu d’informations sont actuellement disponibles sur cette nouvelle vulnérabilité ; le temps et les efforts d’exploitation nécessaires sont pour l’heure inconnus. À ce stade, nous recommandons aux entreprises d’examiner et de mettre en œuvre les solutions de contournement fournies par Microsoft et de commencer à hiérarchiser la gestion des correctifs pour la faille une fois les correctifs publiés. »




Voir les articles précédents

    

Voir les articles suivants