SMBleed : une nouvelle vulnérabilité critique affecte le protocole Windows SMB

0
87

Les chercheurs en cybersécurité ont découvert une nouvelle vulnérabilité critique affectant le protocole Server Message Block (SMB) qui pourrait permettre aux attaquants de divulguer la mémoire du noyau à distance, et lorsqu’elle est combinée avec un bogue annexe précédemment divulgué, la faille peut être exploitée pour réaliser des attaques d’exécution de code à distance.

Surnommé “SMBleed” (CVE-2020-1206) par la firme de cybersécurité ZecOps, la faille réside dans la fonction de décompression de SMB – la même fonction qu’avec SMBGhost ou le faille EternalDarkness (CVE-2020-0796), qui est apparu il y a trois mois, potentiellement exposer les systèmes Windows vulnérables aux attaques de logiciels malveillants qui peuvent se propager sur les réseaux.

La vulnérabilité nouvellement découverte a un impact sur les versions 1903 et 1909 de Windows 10, pour lesquelles Microsoft a publié des correctifs de sécurité dans le cadre de ses mises à jour mensuelles Patch Tuesday pour juin (128 vulnérabilités dont 11 critiques !). Le développement intervient alors que la US Cybersecurity and Infrastructure Security Agency (CISA) a publié un avis la semaine dernière pour avertir les utilisateurs de Windows 10 de mettre à jour leurs machines après la publication en ligne du code d’exploitation pour le bogue SMBGhost la semaine dernière.

SMBGhost a été jugé si grave qu’il a reçu un score de gravité maximum de 10 sur l’échelle de risque cyber. “Bien que Microsoft ait divulgué et fourni des mises à jour pour cette vulnérabilité en mars 2020, des cyber-acteurs malveillants ciblent des systèmes non corrigés avec le nouveau PoC, selon de récents rapports open source “, a déclaré la CISA.

Pour rappel, SMB, qui s’exécute sur le port TCP 445, est un protocole réseau qui fournit la base du partage de fichiers, de la navigation réseau, des services d’impression et de la communication inter-processus sur un réseau.

Selon les chercheurs de ZecOps, la faille provient de la façon dont la fonction de décompression en question (“Srv2DecompressData“) gère les demandes de message spécialement conçues (par exemple, SMB2 WRITE) envoyées à un serveur SMBv3 ciblé, permettant à un attaquant de lire la mémoire du noyau non initialisée et d’apporter des modifications à la fonction de compression.

La structure du message contient des champs tels que la quantité d’octets à écrire et les indicateurs, suivis d’un tampon de longueur variable“, ont déclaré les chercheurs. “C’est parfait pour exploiter le bogue car nous pouvons créer un message tel que nous spécifions l’en-tête, mais le tampon de longueur variable contient des données non initialisées.

Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir des informations susceptibles de compromettre davantage le système de l’utilisateur. Pour exploiter la vulnérabilité contre un serveur, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu vers un serveur SMBv3 ciblé“, a déclaré Microsoft dans son avis.

Pour exploiter la vulnérabilité contre un client, un attaquant non authentifié devrait configurer un serveur SMBv3 illicite et convaincre un utilisateur de s’y connecter“, a ajouté Microsoft.

Pire, SMBleed peut être chaîné avec SMBGhost sur des systèmes Windows 10 non corrigés pour obtenir l’exécution de code à distance. La firme a également publié un code d’exploitation de preuve de concept démontrant les failles. Pour atténuer la vulnérabilité, il est recommandé que les utilisateurs privés et professionnels installent les dernières mises à jour de Windows dès que possible.

Pour les systèmes où le patch n’est pas applicable, il est conseillé de bloquer le port 445 pour empêcher les mouvements latéraux et l’exploitation à distance. Les instructions de sécurité de Microsoft concernant SMBleed et SMBGhost dans Windows 10 version 1909 et 1903 et Server Core pour les mêmes versions peuvent être trouvées ici et ici.