Twitter
Twitter
Facebook
Kaspersky Partner
Twitter
Facebook
Kaspersky Partner

Vulnérabilités - Incidents

Bulletin d’Alerte du CERT-FR | Vulnérabilité dans l’implémentation du protocole #SMB par “Microsoft. ( CERTFR-2020-ALE-008 )


mercredi 11 mars 2020

Les solutions Microsoft reposent sur un grand nombre de services réseau dont un service de partage de ressources (fichiers, imprimantes, …) dénommé SMB. Ce service est présent à la fois sur les postes de travail et sur les serveurs Windows.

Microsoft a ajouté une extension au protocole SMB V3.1.1 permettant la compression des flux. Cette extension, activée par défaut, est implémentée depuis certaines versions de Windows (cf. ci-dessus). Les serveurs Windows Server 2019, Windows Server 2016 ainsi que les versions antérieures ne sont pas affectés.

Le 10 mars 2020, l’éditeur a publié un avis concernant une vulnérabilité affectant la gestion de la compression dans son implémentation du protocole SMB. Cette vulnérabilité est de type débordement de tampon et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification (preauth).

La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.

Des informations sur cette vulnérabilité ont été divulguées par des chercheurs alors que Microsoft n’a pas publié de correctif.

Le CERT-FR estime que des codes d’exploitation sont susceptibles d’être publiés rapidement.

  • Windows 10 version 1903
  • Windows 10 version 1909
  • Windows Server (Server Core Installation) version 1903
  • Windows Server (Server Core Installation) version 1909

Dans l’attente d’un correctif de l’éditeur, le CERT-FR demande que le contournement publié par l’éditeur [1] soit immédiatement appliqué.

Il est important de souligner que ce contournement protège le service ‘serveur’ SMB et ne nécessite pas de redémarrrage. En revanche, les clients SMB restent vulnérables.

Le CERT-FR rappelle que les règles de bonnes pratiques de sécurisation des environnements Microsoft doivent être scrupuleusement respectées :

  • Interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entrée et en sortie du Système d’Information [2] ;
  • Pour le cloisonnement interne : n’autoriser les flux SMB que lorsque cela est nécessaire (contrôleurs de domaine, serveurs de fichiers, etc.) et bloquer ce flux entre postes de travail ;
  • Pour les postes nomades : interdire tous les flux SMB entrant et sortant et n’autoriser ces flux vers des serveurs SMB qu’au travers d’un VPN sécurisé [3][4]

Ces mesures sont de portée générale et doivent être appliquées systématiquement au sein d’un Système d’Information.


[Mise à jour du 12 mars 2020]

Microsoft a publié un correctif pour la vulnérabilité CVE-2020-0796. Le CERT-FR recommande d’appliquer la mise à jour dans les plus brefs délais. L’application du correctif ne dispense pas de respecter les bonnes pratiques rappelées ci-après.


Tous les médias parlent de la nouvelle vulnérabilité RCE CVE-2020-0796 qui affecte les systèmes d’exploitation Windows 10 et Windows Server, et plus particulièrement le protocole Microsoft Server Message Block 3.1.1. Selon Microsoft, un cybercriminel peut exploiter cette vulnérabilité pour exécuter un code arbitraire du côté du serveur SMB ou du client SMB. Pour s’en prendre au serveur, il suffit de lui envoyer un paquet spécialement créé pour cette action. Quant au client, les pirates informatiques doivent configurer un serveur SMBv3 malveillant et convaincre l’utilisateur de s’y connecter.

Les experts en cybersécurité pensent que cette vulnérabilité pourrait être utilisée pour lancer un ver similaire à WannaCry. Microsoft considère que cette vulnérabilité est critique et que vous devriez la fermer dès que possible.

Qui est menacé ?

SMB est un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. Il est utilisé pour configurer les fonctions réseau, et le partage de fichiers et imprimantes de Microsoft Windows. Si votre entreprise utilise ces fonctions alors vous devez vous inquiéter.

Microsoft Server Message Block 3.1.1 est un protocole assez récent que seuls les nouveaux systèmes d’exploitation utilisent :

  • Windows 10 Version 1903 pour systèmes 32 bits
  • Windows 10 Version 1903 pour ARM64-based Systems
  • Windows 10 Version 1903 pour systèmes x64
  • Windows 10 Version 1909 pour systèmes 32 bits
  • Windows 10 Version 1909 pour ARM64-based Systems
  • Windows 10 Version 1909 pour systèmes x64
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)

La vulnérabilité ne concerne pas Windows 7, 8, 8.1 et les versions antérieures. Il s’avère toutefois que la plupart des ordinateurs modernes, ayant activé l’installation automatique des mises à jour, sont sous Windows 10. Par conséquent, il est fort probable que de nombreux dispositifs, personnels et professionnels, soient vulnérables.

…/..

La suite de l’article et des conseils à appliquer est accessible ici sur le blog de Kaspersky.

 

 

Bulletin d’Alerte du CERT-FR | Vulnérabilité dans l’implémentation du protocole #SMB par “Microsoft. ( CERTFR-2020-ALE-008 )

Les solutions Microsoft reposent sur un grand nombre de services réseau dont un service de partage de ressources (fichiers, imprimantes, …) dénommé SMB. Ce service est présent à la fois sur les postes de travail et sur les serveurs Windows.

Microsoft a ajouté une extension au protocole SMB V3.1.1 permettant la compression des flux. Cette extension, activée par défaut, est implémentée depuis certaines versions de Windows (cf. ci-dessus). Les serveurs Windows Server 2019, Windows Server 2016 ainsi que les versions antérieures ne sont pas affectés.

Le 10 mars 2020, l’éditeur a publié un avis concernant une vulnérabilité affectant la gestion de la compression dans son implémentation du protocole SMB. Cette vulnérabilité est de type débordement de tampon et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification (preauth).

La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.

Des informations sur cette vulnérabilité ont été divulguées par des chercheurs alors que Microsoft n’a pas publié de correctif.

Le CERT-FR estime que des codes d’exploitation sont susceptibles d’être publiés rapidement.

  • Windows 10 version 1903
  • Windows 10 version 1909
  • Windows Server (Server Core Installation) version 1903
  • Windows Server (Server Core Installation) version 1909

Dans l’attente d’un correctif de l’éditeur, le CERT-FR demande que le contournement publié par l’éditeur [1] soit immédiatement appliqué.

Il est important de souligner que ce contournement protège le service ‘serveur’ SMB et ne nécessite pas de redémarrrage. En revanche, les clients SMB restent vulnérables.

Le CERT-FR rappelle que les règles de bonnes pratiques de sécurisation des environnements Microsoft doivent être scrupuleusement respectées :

  • Interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entrée et en sortie du Système d’Information [2] ;
  • Pour le cloisonnement interne : n’autoriser les flux SMB que lorsque cela est nécessaire (contrôleurs de domaine, serveurs de fichiers, etc.) et bloquer ce flux entre postes de travail ;
  • Pour les postes nomades : interdire tous les flux SMB entrant et sortant et n’autoriser ces flux vers des serveurs SMB qu’au travers d’un VPN sécurisé [3][4]

Ces mesures sont de portée générale et doivent être appliquées systématiquement au sein d’un Système d’Information.


[Mise à jour du 12 mars 2020]

Microsoft a publié un correctif pour la vulnérabilité CVE-2020-0796. Le CERT-FR recommande d’appliquer la mise à jour dans les plus brefs délais. L’application du correctif ne dispense pas de respecter les bonnes pratiques rappelées ci-après.


Tous les médias parlent de la nouvelle vulnérabilité RCE CVE-2020-0796 qui affecte les systèmes d’exploitation Windows 10 et Windows Server, et plus particulièrement le protocole Microsoft Server Message Block 3.1.1. Selon Microsoft, un cybercriminel peut exploiter cette vulnérabilité pour exécuter un code arbitraire du côté du serveur SMB ou du client SMB. Pour s’en prendre au serveur, il suffit de lui envoyer un paquet spécialement créé pour cette action. Quant au client, les pirates informatiques doivent configurer un serveur SMBv3 malveillant et convaincre l’utilisateur de s’y connecter.

Les experts en cybersécurité pensent que cette vulnérabilité pourrait être utilisée pour lancer un ver similaire à WannaCry. Microsoft considère que cette vulnérabilité est critique et que vous devriez la fermer dès que possible.

Qui est menacé ?

SMB est un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. Il est utilisé pour configurer les fonctions réseau, et le partage de fichiers et imprimantes de Microsoft Windows. Si votre entreprise utilise ces fonctions alors vous devez vous inquiéter.

Microsoft Server Message Block 3.1.1 est un protocole assez récent que seuls les nouveaux systèmes d’exploitation utilisent :

  • Windows 10 Version 1903 pour systèmes 32 bits
  • Windows 10 Version 1903 pour ARM64-based Systems
  • Windows 10 Version 1903 pour systèmes x64
  • Windows 10 Version 1909 pour systèmes 32 bits
  • Windows 10 Version 1909 pour ARM64-based Systems
  • Windows 10 Version 1909 pour systèmes x64
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)

La vulnérabilité ne concerne pas Windows 7, 8, 8.1 et les versions antérieures. Il s’avère toutefois que la plupart des ordinateurs modernes, ayant activé l’installation automatique des mises à jour, sont sous Windows 10. Par conséquent, il est fort probable que de nombreux dispositifs, personnels et professionnels, soient vulnérables.

…/..

La suite de l’article et des conseils à appliquer est accessible ici sur le blog de Kaspersky.

 

 

Bulletin d’Alerte du CERT-FR | Vulnérabilité dans l’implémentation du protocole #SMB par “Microsoft. ( CERTFR-2020-ALE-008 )

Les solutions Microsoft reposent sur un grand nombre de services réseau dont un service de partage de ressources (fichiers, imprimantes, …) dénommé SMB. Ce service est présent à la fois sur les postes de travail et sur les serveurs Windows.

Microsoft a ajouté une extension au protocole SMB V3.1.1 permettant la compression des flux. Cette extension, activée par défaut, est implémentée depuis certaines versions de Windows (cf. ci-dessus). Les serveurs Windows Server 2019, Windows Server 2016 ainsi que les versions antérieures ne sont pas affectés.

Le 10 mars 2020, l’éditeur a publié un avis concernant une vulnérabilité affectant la gestion de la compression dans son implémentation du protocole SMB. Cette vulnérabilité est de type débordement de tampon et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification (preauth).

La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.

Des informations sur cette vulnérabilité ont été divulguées par des chercheurs alors que Microsoft n’a pas publié de correctif.

Le CERT-FR estime que des codes d’exploitation sont susceptibles d’être publiés rapidement.

  • Windows 10 version 1903
  • Windows 10 version 1909
  • Windows Server (Server Core Installation) version 1903
  • Windows Server (Server Core Installation) version 1909

Dans l’attente d’un correctif de l’éditeur, le CERT-FR demande que le contournement publié par l’éditeur [1] soit immédiatement appliqué.

Il est important de souligner que ce contournement protège le service ‘serveur’ SMB et ne nécessite pas de redémarrrage. En revanche, les clients SMB restent vulnérables.

Le CERT-FR rappelle que les règles de bonnes pratiques de sécurisation des environnements Microsoft doivent être scrupuleusement respectées :

  • Interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entrée et en sortie du Système d’Information [2] ;
  • Pour le cloisonnement interne : n’autoriser les flux SMB que lorsque cela est nécessaire (contrôleurs de domaine, serveurs de fichiers, etc.) et bloquer ce flux entre postes de travail ;
  • Pour les postes nomades : interdire tous les flux SMB entrant et sortant et n’autoriser ces flux vers des serveurs SMB qu’au travers d’un VPN sécurisé [3][4]

Ces mesures sont de portée générale et doivent être appliquées systématiquement au sein d’un Système d’Information.


[Mise à jour du 12 mars 2020]

Microsoft a publié un correctif pour la vulnérabilité CVE-2020-0796. Le CERT-FR recommande d’appliquer la mise à jour dans les plus brefs délais. L’application du correctif ne dispense pas de respecter les bonnes pratiques rappelées ci-après.


Tous les médias parlent de la nouvelle vulnérabilité RCE CVE-2020-0796 qui affecte les systèmes d’exploitation Windows 10 et Windows Server, et plus particulièrement le protocole Microsoft Server Message Block 3.1.1. Selon Microsoft, un cybercriminel peut exploiter cette vulnérabilité pour exécuter un code arbitraire du côté du serveur SMB ou du client SMB. Pour s’en prendre au serveur, il suffit de lui envoyer un paquet spécialement créé pour cette action. Quant au client, les pirates informatiques doivent configurer un serveur SMBv3 malveillant et convaincre l’utilisateur de s’y connecter.

Les experts en cybersécurité pensent que cette vulnérabilité pourrait être utilisée pour lancer un ver similaire à WannaCry. Microsoft considère que cette vulnérabilité est critique et que vous devriez la fermer dès que possible.

Qui est menacé ?

SMB est un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. Il est utilisé pour configurer les fonctions réseau, et le partage de fichiers et imprimantes de Microsoft Windows. Si votre entreprise utilise ces fonctions alors vous devez vous inquiéter.

Microsoft Server Message Block 3.1.1 est un protocole assez récent que seuls les nouveaux systèmes d’exploitation utilisent :

  • Windows 10 Version 1903 pour systèmes 32 bits
  • Windows 10 Version 1903 pour ARM64-based Systems
  • Windows 10 Version 1903 pour systèmes x64
  • Windows 10 Version 1909 pour systèmes 32 bits
  • Windows 10 Version 1909 pour ARM64-based Systems
  • Windows 10 Version 1909 pour systèmes x64
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)

La vulnérabilité ne concerne pas Windows 7, 8, 8.1 et les versions antérieures. Il s’avère toutefois que la plupart des ordinateurs modernes, ayant activé l’installation automatique des mises à jour, sont sous Windows 10. Par conséquent, il est fort probable que de nombreux dispositifs, personnels et professionnels, soient vulnérables.

…/..

La suite de l’article et des conseils à appliquer est accessible ici sur le blog de Kaspersky.