SMBGhost - Les fantômes des bogues SMB continuent de hanter les chercheurs en sécurité
Server Message Block (SMB), le protocole réseau utilisé pour le partage de fichiers et les communications réseau interprocessus, fait l'objet de controverses depuis longtemps, en particulier après les attaques de Wannacry et NotPetya. Récemment, un chercheur a dévoilé publiquement un autre exploit basé sur la vulnérabilité des PME, exposant la menace liée à cette technologie.
Exploiter la vulnérabilité SMBGhost
- Récemment, le code de travail d'une vulnérabilité critique dans Microsoft Server Message Block (SMB 3.1.1) a été rendu disponible, ce qui pourrait permettre à un attaquant de réaliser l'exécution de code à distance sur des machines Windows 10.
- Ce code pour l'exploit SMBGhost RCE a été partagé par un chercheur avec le nom d'utilisateur GitHub «chompie1337» et a été divulgué publiquement sur Twitter via le pseudo Twitter «Chompie».
- L'exploit repose sur une primitive de lecture physique, qui peut également permettre l'exploitation de futurs bogues de corruption de mémoire SMB.
Les vulnérabilités SMB sont-elles dangereuses ?
La gravité des vulnérabilités du serveur SMB a récemment attiré l'attention des chercheurs après les attaques populaires WannaCry et NotPetya de 2017, qui ont utilisé l'exploit EternalBlue pour SMB v1.
- La vulnérabilité SMBGhost actuelle, suivie comme CVE-2020-0796, affecte les versions 1909 et 1903 de Windows 10, y compris Server Core.
- En mars 2020, les informations sur cette vulnérabilité ont été divulguées par erreur par Microsoft, après quoi Microsoft a publié un correctif essentiel pour résoudre ce problème.
Restez protégé avec des correctifs et des solutions
En mars 2020, Microsoft a publié la mise à jour du correctif (KB4551762) pour résoudre ce problème. Microsoft a également fourni plusieurs solutions de contournement, notamment la désactivation de la compression sur les serveurs SMBv3 et le blocage du port TCP 445 (le cas échéant) au niveau du pare-feu de périmètre d'entreprise.