ALERTE : Vulnérabilité protocole SMB Microsoft (12.03.20)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité protocole SMB Microsoft (12.03.20)

Messagede pierre » 12 Mar 2020, 19:16

ALERTE : Vulnérabilité dans l’implémentation du protocole SMB par Microsoft


Risque(s)

Exécution de code arbitraire à distance

Systèmes affectés

Windows 10 version 1903
Windows 10 version 1909
Windows Server (Server Core Installation) version 1903
Windows Server (Server Core Installation) version 1909

Résumé
Les solutions Microsoft reposent sur un grand nombre de services réseau dont un service de partage de ressources (fichiers, imprimantes, ...) dénommé SMB. Ce service est présent à la fois sur les postes de travail et sur les serveurs Windows.

Microsoft a ajouté une extension au protocole SMB V3.1.1 permettant la compression des flux. Cette extension, activée par défaut, est implémentée depuis certaines versions de Windows (cf. ci-dessus). Les serveurs Windows Server 2019, Windows Server 2016 ainsi que les versions antérieures ne sont pas affectés.

Le 10 mars 2020, l'éditeur a publié un avis concernant une vulnérabilité affectant la gestion de la compression dans son implémentation du protocole SMB. Cette vulnérabilité est de type débordement de tampon et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification (preauth).

La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.

Des informations sur cette vulnérabilité ont été divulguées par des chercheurs alors que Microsoft n'a pas publié de correctif.

Le CERT-FR estime que des codes d'exploitation sont susceptibles d'être publiés rapidement.

Solution
[Mise à jour du 12 mars 2020]
Microsoft a publié un correctif pour la vulnérabilité CVE-2020-0796. Le CERT-FR recommande d'appliquer la mise à jour dans les plus brefs délais. L'application du correctif ne dispense pas de respecter les bonnes pratiques rappelées ci-après.

[Publication initiale]
Dans l'attente d'un correctif de l'éditeur, le CERT-FR demande que le contournement publié par l'éditeur [1] soit immédiatement appliqué.

Il est important de souligner que ce contournement protège le service 'serveur' SMB et ne nécessite pas de redémarrage. En revanche, les clients SMB restent vulnérables.

Le CERT-FR rappelle que les règles de bonnes pratiques de sécurisation des environnements Microsoft doivent être scrupuleusement respectées :

Interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entrée et en sortie du Système d'Information [2] ;
Pour le cloisonnement interne : n'autoriser les flux SMB que lorsque cela est nécessaire (contrôleurs de domaine, serveurs de fichiers, etc.) et bloquer ce flux entre postes de travail ;
Pour les postes nomades : interdire tous les flux SMB entrant et sortant et n'autoriser ces flux vers des serveurs SMB qu'au travers d'un VPN sécurisé [3][4]

Ces mesures sont de portée générale et doivent être appliquées systématiquement au sein d'un Système d'Information.


Documentation
Avis CERT-FR CERTFR-2020-AVI-149
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-149

[1] Bulletin de sécurité Microsoft ADV200005 du 10 mars 2020
https://portal.msrc.microsoft.com/fr-fr ... /ADV200005

[2] Recommandations relatives au blocage de ports de pare-feu spécifiques pour empêcher le trafic SMB de quitter l'environnement d'entreprise
https://support.microsoft.com/fr-fr/hel ... onnections

[3] Bulletin d'actualité CERT-FR
https://www.cert.ssi.gouv.fr/actualite/ ... 0-ACT-001/

[4] Recommandations sur le nomadisme numérique
https://www.ssi.gouv.fr/guide/recommand ... numerique/

Référence CVE CVE-2020-0796
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-0796


Historiques des alertes de sécurité (en cours et cloturées)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26694
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

ALERTE : Vulnérabilité protocole SMB Microsoft (12.03.20)

Messagede pierre » 04 Juin 2020, 05:20

[Mise à jour du 02 juin 2020]

Des codes d'exploitation ont été publiés publiquement pour la vulnérabilité CVE-2020-0796. Celle-ci affecte l'implémentation du protocole SMB par Microsoft et permet une exécution de code arbitraire à distance.

Il est donc urgent d'appliquer les mises à jour si ça n'a pas encore été fait.



Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Windows 10 version 1903
Windows 10 version 1909
Windows Server (Server Core Installation) version 1903
Windows Server (Server Core Installation) version 1909

Résumé
[Mise à jour du 02 juin 2020]

Des codes d'exploitation ont été publiés publiquement pour la vulnérabilité CVE-2020-0796. Celle-ci affecte l'implémentation du protocole SMB par Microsoft et permet une exécution de code arbitraire à distance. Il est donc urgent d'appliquer les mises à jour si ce n'a pas encore été fait.

[Publication initiale]
Les solutions Microsoft reposent sur un grand nombre de services réseau dont un service de partage de ressources (fichiers, imprimantes, ...) dénommé SMB. Ce service est présent à la fois sur les postes de travail et sur les serveurs Windows.

Microsoft a ajouté une extension au protocole SMB V3.1.1 permettant la compression des flux. Cette extension, activée par défaut, est implémentée depuis certaines versions de Windows (cf. ci-dessus). Les serveurs Windows Server 2019, Windows Server 2016 ainsi que les versions antérieures ne sont pas affectés.

Le 10 mars 2020, l'éditeur a publié un avis concernant une vulnérabilité affectant la gestion de la compression dans son implémentation du protocole SMB. Cette vulnérabilité est de type débordement de tampon et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification (preauth).

La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.

Des informations sur cette vulnérabilité ont été divulguées par des chercheurs alors que Microsoft n'a pas publié de correctif.

Le CERT-FR estime que des codes d'exploitation sont susceptibles d'être publiés rapidement.

Solution
[Mise à jour du 12 mars 2020]
Microsoft a publié un correctif pour la vulnérabilité CVE-2020-0796. Le CERT-FR recommande d'appliquer la mise à jour dans les plus brefs délais. L'application du correctif ne dispense pas de respecter les bonnes pratiques rappelées ci-après.

[Publication initiale]
Dans l'attente d'un correctif de l'éditeur, le CERT-FR demande que le contournement publié par l'éditeur [1] soit immédiatement appliqué.

Il est important de souligner que ce contournement protège le service 'serveur' SMB et ne nécessite pas de redémarrage. En revanche, les clients SMB restent vulnérables.

Le CERT-FR rappelle que les règles de bonnes pratiques de sécurisation des environnements Microsoft doivent être scrupuleusement respectées :

Interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entrée et en sortie du Système d'Information [2] ;
Pour le cloisonnement interne : n'autoriser les flux SMB que lorsque cela est nécessaire (contrôleurs de domaine, serveurs de fichiers, etc.) et bloquer ce flux entre postes de travail ;
Pour les postes nomades : interdire tous les flux SMB entrant et sortant et n'autoriser ces flux vers des serveurs SMB qu'au travers d'un VPN sécurisé [3][4]

Ces mesures sont de portée générale et doivent être appliquées systématiquement au sein d'un Système d'Information.


Documentation
Avis CERT-FR CERTFR-2020-AVI-149
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-149

[1] Bulletin de sécurité Microsoft ADV200005 du 10 mars 2020
https://portal.msrc.microsoft.com/fr-fr ... /ADV200005

[2] Recommandations relatives au blocage de ports de pare-feu spécifiques pour empêcher le trafic SMB de quitter l'environnement d'entreprise
https://support.microsoft.com/fr-fr/hel ... onnections

[3] Bulletin d'actualité CERT-FR
https://www.cert.ssi.gouv.fr/actualite/ ... 0-ACT-001/

[4] Recommandations sur le nomadisme numérique
https://www.ssi.gouv.fr/guide/recommand ... numerique/

Référence CVE CVE-2020-0796
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-0796
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26694
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité protocole SMB Microsoft (12.03.20

Messagede piratebab » 04 Juin 2020, 17:54

Encore une faille dans SMB! La derniere avait fait un carnage.
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5721
Inscription: 30 Aoû 2004, 18:20

Re: ALERTE : Vulnérabilité protocole SMB Microsoft (12.03.20

Messagede Silure » 04 Juin 2020, 18:32

Mes ports TCP/445 et TCP/139 ne sont ouverts qu'en LAN. De et vers mon NAS.
Image
Linux user #546171 Config <=
Avatar de l’utilisateur
Silure
Modérateur
 
Messages: 938
Inscription: 15 Juil 2005, 14:10
Localisation: Aquitaine

Re: ALERTE : Vulnérabilité protocole SMB Microsoft (12.03.20

Messagede pierre » 05 Aoû 2020, 16:12

Clôture de l'alerte.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26694
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités