mercredi 11 mars 2020
Les solutions Microsoft reposent sur un grand nombre de services réseau dont un service de partage de ressources (fichiers, imprimantes, …) dénommé SMB. Ce service est présent à la fois sur les postes de travail et sur les serveurs Windows.
Microsoft a ajouté une extension au protocole SMB V3.1.1 permettant la compression des flux. Cette extension, activée par défaut, est implémentée depuis certaines versions de Windows (cf. ci-dessus). Les serveurs Windows Server 2019, Windows Server 2016 ainsi que les versions antérieures ne sont pas affectés.
Le 10 mars 2020, l’éditeur a publié un avis concernant une vulnérabilité affectant la gestion de la compression dans son implémentation du protocole SMB. Cette vulnérabilité est de type débordement de tampon et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification (preauth).
La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.
Des informations sur cette vulnérabilité ont été divulguées par des chercheurs alors que Microsoft n’a pas publié de correctif.
Le CERT-FR estime que des codes d’exploitation sont susceptibles d’être publiés rapidement.
Dans l’attente d’un correctif de l’éditeur, le CERT-FR demande que le contournement publié par l’éditeur [1] soit immédiatement appliqué.
Il est important de souligner que ce contournement protège le service ‘serveur’ SMB et ne nécessite pas de redémarrrage. En revanche, les clients SMB restent vulnérables.
Le CERT-FR rappelle que les règles de bonnes pratiques de sécurisation des environnements Microsoft doivent être scrupuleusement respectées :
Ces mesures sont de portée générale et doivent être appliquées systématiquement au sein d’un Système d’Information.
[Mise à jour du 12 mars 2020]
Microsoft a publié un correctif pour la vulnérabilité CVE-2020-0796. Le CERT-FR recommande d’appliquer la mise à jour dans les plus brefs délais. L’application du correctif ne dispense pas de respecter les bonnes pratiques rappelées ci-après.
Tous les médias parlent de la nouvelle vulnérabilité RCE CVE-2020-0796 qui affecte les systèmes d’exploitation Windows 10 et Windows Server, et plus particulièrement le protocole Microsoft Server Message Block 3.1.1. Selon Microsoft, un cybercriminel peut exploiter cette vulnérabilité pour exécuter un code arbitraire du côté du serveur SMB ou du client SMB. Pour s’en prendre au serveur, il suffit de lui envoyer un paquet spécialement créé pour cette action. Quant au client, les pirates informatiques doivent configurer un serveur SMBv3 malveillant et convaincre l’utilisateur de s’y connecter.
Les experts en cybersécurité pensent que cette vulnérabilité pourrait être utilisée pour lancer un ver similaire à WannaCry. Microsoft considère que cette vulnérabilité est critique et que vous devriez la fermer dès que possible.
Qui est menacé ?
SMB est un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. Il est utilisé pour configurer les fonctions réseau, et le partage de fichiers et imprimantes de Microsoft Windows. Si votre entreprise utilise ces fonctions alors vous devez vous inquiéter.
Microsoft Server Message Block 3.1.1 est un protocole assez récent que seuls les nouveaux systèmes d’exploitation utilisent :
La vulnérabilité ne concerne pas Windows 7, 8, 8.1 et les versions antérieures. Il s’avère toutefois que la plupart des ordinateurs modernes, ayant activé l’installation automatique des mises à jour, sont sous Windows 10. Par conséquent, il est fort probable que de nombreux dispositifs, personnels et professionnels, soient vulnérables.
…/..
La suite de l’article et des conseils à appliquer est accessible ici sur le blog de Kaspersky.
Les solutions Microsoft reposent sur un grand nombre de services réseau dont un service de partage de ressources (fichiers, imprimantes, …) dénommé SMB. Ce service est présent à la fois sur les postes de travail et sur les serveurs Windows.
Microsoft a ajouté une extension au protocole SMB V3.1.1 permettant la compression des flux. Cette extension, activée par défaut, est implémentée depuis certaines versions de Windows (cf. ci-dessus). Les serveurs Windows Server 2019, Windows Server 2016 ainsi que les versions antérieures ne sont pas affectés.
Le 10 mars 2020, l’éditeur a publié un avis concernant une vulnérabilité affectant la gestion de la compression dans son implémentation du protocole SMB. Cette vulnérabilité est de type débordement de tampon et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification (preauth).
La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.
Des informations sur cette vulnérabilité ont été divulguées par des chercheurs alors que Microsoft n’a pas publié de correctif.
Le CERT-FR estime que des codes d’exploitation sont susceptibles d’être publiés rapidement.
Dans l’attente d’un correctif de l’éditeur, le CERT-FR demande que le contournement publié par l’éditeur [1] soit immédiatement appliqué.
Il est important de souligner que ce contournement protège le service ‘serveur’ SMB et ne nécessite pas de redémarrrage. En revanche, les clients SMB restent vulnérables.
Le CERT-FR rappelle que les règles de bonnes pratiques de sécurisation des environnements Microsoft doivent être scrupuleusement respectées :
Ces mesures sont de portée générale et doivent être appliquées systématiquement au sein d’un Système d’Information.
[Mise à jour du 12 mars 2020]
Microsoft a publié un correctif pour la vulnérabilité CVE-2020-0796. Le CERT-FR recommande d’appliquer la mise à jour dans les plus brefs délais. L’application du correctif ne dispense pas de respecter les bonnes pratiques rappelées ci-après.
Tous les médias parlent de la nouvelle vulnérabilité RCE CVE-2020-0796 qui affecte les systèmes d’exploitation Windows 10 et Windows Server, et plus particulièrement le protocole Microsoft Server Message Block 3.1.1. Selon Microsoft, un cybercriminel peut exploiter cette vulnérabilité pour exécuter un code arbitraire du côté du serveur SMB ou du client SMB. Pour s’en prendre au serveur, il suffit de lui envoyer un paquet spécialement créé pour cette action. Quant au client, les pirates informatiques doivent configurer un serveur SMBv3 malveillant et convaincre l’utilisateur de s’y connecter.
Les experts en cybersécurité pensent que cette vulnérabilité pourrait être utilisée pour lancer un ver similaire à WannaCry. Microsoft considère que cette vulnérabilité est critique et que vous devriez la fermer dès que possible.
Qui est menacé ?
SMB est un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. Il est utilisé pour configurer les fonctions réseau, et le partage de fichiers et imprimantes de Microsoft Windows. Si votre entreprise utilise ces fonctions alors vous devez vous inquiéter.
Microsoft Server Message Block 3.1.1 est un protocole assez récent que seuls les nouveaux systèmes d’exploitation utilisent :
La vulnérabilité ne concerne pas Windows 7, 8, 8.1 et les versions antérieures. Il s’avère toutefois que la plupart des ordinateurs modernes, ayant activé l’installation automatique des mises à jour, sont sous Windows 10. Par conséquent, il est fort probable que de nombreux dispositifs, personnels et professionnels, soient vulnérables.
…/..
La suite de l’article et des conseils à appliquer est accessible ici sur le blog de Kaspersky.
Les solutions Microsoft reposent sur un grand nombre de services réseau dont un service de partage de ressources (fichiers, imprimantes, …) dénommé SMB. Ce service est présent à la fois sur les postes de travail et sur les serveurs Windows.
Microsoft a ajouté une extension au protocole SMB V3.1.1 permettant la compression des flux. Cette extension, activée par défaut, est implémentée depuis certaines versions de Windows (cf. ci-dessus). Les serveurs Windows Server 2019, Windows Server 2016 ainsi que les versions antérieures ne sont pas affectés.
Le 10 mars 2020, l’éditeur a publié un avis concernant une vulnérabilité affectant la gestion de la compression dans son implémentation du protocole SMB. Cette vulnérabilité est de type débordement de tampon et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification (preauth).
La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.
Des informations sur cette vulnérabilité ont été divulguées par des chercheurs alors que Microsoft n’a pas publié de correctif.
Le CERT-FR estime que des codes d’exploitation sont susceptibles d’être publiés rapidement.
Dans l’attente d’un correctif de l’éditeur, le CERT-FR demande que le contournement publié par l’éditeur [1] soit immédiatement appliqué.
Il est important de souligner que ce contournement protège le service ‘serveur’ SMB et ne nécessite pas de redémarrrage. En revanche, les clients SMB restent vulnérables.
Le CERT-FR rappelle que les règles de bonnes pratiques de sécurisation des environnements Microsoft doivent être scrupuleusement respectées :
Ces mesures sont de portée générale et doivent être appliquées systématiquement au sein d’un Système d’Information.
[Mise à jour du 12 mars 2020]
Microsoft a publié un correctif pour la vulnérabilité CVE-2020-0796. Le CERT-FR recommande d’appliquer la mise à jour dans les plus brefs délais. L’application du correctif ne dispense pas de respecter les bonnes pratiques rappelées ci-après.
Tous les médias parlent de la nouvelle vulnérabilité RCE CVE-2020-0796 qui affecte les systèmes d’exploitation Windows 10 et Windows Server, et plus particulièrement le protocole Microsoft Server Message Block 3.1.1. Selon Microsoft, un cybercriminel peut exploiter cette vulnérabilité pour exécuter un code arbitraire du côté du serveur SMB ou du client SMB. Pour s’en prendre au serveur, il suffit de lui envoyer un paquet spécialement créé pour cette action. Quant au client, les pirates informatiques doivent configurer un serveur SMBv3 malveillant et convaincre l’utilisateur de s’y connecter.
Les experts en cybersécurité pensent que cette vulnérabilité pourrait être utilisée pour lancer un ver similaire à WannaCry. Microsoft considère que cette vulnérabilité est critique et que vous devriez la fermer dès que possible.
Qui est menacé ?
SMB est un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. Il est utilisé pour configurer les fonctions réseau, et le partage de fichiers et imprimantes de Microsoft Windows. Si votre entreprise utilise ces fonctions alors vous devez vous inquiéter.
Microsoft Server Message Block 3.1.1 est un protocole assez récent que seuls les nouveaux systèmes d’exploitation utilisent :
La vulnérabilité ne concerne pas Windows 7, 8, 8.1 et les versions antérieures. Il s’avère toutefois que la plupart des ordinateurs modernes, ayant activé l’installation automatique des mises à jour, sont sous Windows 10. Par conséquent, il est fort probable que de nombreux dispositifs, personnels et professionnels, soient vulnérables.
…/..
La suite de l’article et des conseils à appliquer est accessible ici sur le blog de Kaspersky.