Une faille zero-day dans Windows 10 provoque un écran bleu de la mort

Le CERT US alerte qu’une faille zero-day du protocole SMB peut faire planter Windows 10 et 8.1. Et, peut-être, ouvrir la voie à des attaques DDoS.

Une nouvelle faille zero-day affecte plusieurs versions de Windows. Le CERT américain a émis une alerte en ce sens le 2 février (la nuit dernière pour l’Europe) suite à la mise en ligne d’un code d’exploitation. Lequel exploite une vulnérabilité du protocole SMB (Server Message Block) de l’OS de Microsoft. « Microsoft Windows contient un bogue de corruption de mémoire dans le traitement du trafic SMB, ce qui peut permettre à un attaquant distant et non authentifié de provoquer un déni de service ou d’exécuter potentiellement du code arbitraire sur un système vulnérable », résume le Centre de surveillance des failles informatiques.

Selon les experts du CERT, la structure SMB2 TREE_CONNECT de l’OS échoue à soutenir une requête serveur qui contient trop d’octets. En connectant un serveur SMB malveillant, l’exploitation de ce bug pourrait amener à faire planter Windows (dans mrxsmb20.sys) déclenchant l’apparition du fameux « écran bleu de la mort ». « Il n’est pas clair à ce stade si cette vulnérabilité peut être exploitable au-delà d’une attaque de déni de service, souligne le centre de sécurité US. Nous avons confirmé la panne avec les systèmes clients Windows 10 et Windows 8.1 entièrement patchés. » De son côté, le chercheur @PythonResponder, à l’origine de la publication de la faille, assure dans un tweet qu’elle affecte aussi Windows Server 2012 et Server 2016.

Seule solution : bloquer les ports

Le CERT confirme qu’aucun correctif n’est disponible, à la publication de l’alerte (pour l’heure sans référence CVE), pour corriger le problème. En attendant une mise à jour et pour limiter les risques, le Centre suggère simplement de bloquer les connexions sortantes SMB du réseau local vers le WAN (via les ports TCP 139 et 445 ainsi que UDP 137 et 138). Pas forcément pratique à accepter pour la production alors que ce protocole vieillissant peut encore être utilisé pour partager des fichiers et se connecter aux imprimantes d’un réseau local. Mais très recommandé. La vulnérabilité est affligée d’un CVSS 10, soit le niveau de plus élevé dans le système de notation des vulnérabilités. Autrement dit, la faille peut être exploitée à distance, y compris par des attaquants peu qualifiés. Et elle est aujourd’hui publique.


Lire également
Comment Windows 10 Anniversary Update a détourné deux attaques zero day
Le site du FBI victime d’une faille Zero Day
Backdoor et Zero Days pour plusieurs milliers de caméras IP

Photo credit: Justin Marty via VisualHunt.com / CC BY-SA