Pour gérer vos consentements :
Categories: Cybersécurité

SMB : un protocole Windows qui reste vulnérable

Encore une faille RPC ? Oui, mais qui fait l’objet d’une alerte du CERT-FR. Il faut dire qu’elle est critique (score CVSS : 9,8). À tel point que Microsoft a étendu son correctif à des versions de Windows dont il n’assure normalement plus le support.

Le risque ? L’exécution de code à distance, sans authentification ni privilèges. En première ligne, le protocole SMB, vecteur de transport de nombreuses interfaces RPC.

On appliquera en priorité le correctif aux systèmes les plus critiques. Notamment les contrôleurs de domaines Active Directory. À défaut, on procédera préférentiellement à la déconnexion des systèmes affectés du réseau. Sinon, au filtrage de plusieurs ports réseau en entrée :

– TCP/139 (SMB sur NetBIOS)
– TCP/445 (SMB sur TCP ; implémenté depuis Windows 2000)
– UDP/135 et TCP/135 (communication RPC)
– La plage de ports dynamique utilisés par l’écosystème RPC (par défaut, sur les terminaux sans port d’écoute défini, les ports 1024 à 5000 sont alloués)

Le port 445 fait traditionnellement partie des plus scannés en vue d’attaques. Témoin une expérimentation que Palo Alto Networks a menée l’an dernier. Il a devancé les ports 23 (Telnet) et 22 (SSH).

On se rappellera que le tristement fameux WannaCry exploitait lui aussi SMB, par l’intermédiaire d’un kit d’exploitation exfiltré de la NSA. Bien des malwares s’étaient ensuite engouffrés dans la brèche, en réutilisant parfois le même kit. Le cryptomineur Adylkuzz en était. Comme EternalRocks, qui pouvait exploiter par moins de 7 failles SMB. Ou Bad Rabbit, inspiré quant à lui de Petya.

Deux autres vulnérabilités RPC ont fait l’objet d’une correction à l’occasion du Patch Tuesday d’avril 2022. L’une et l’autre sont jugées « importantes » ; avec là aussi, comme conséquence potentielle, l’exécution de code à distance.

Photo d’illustration © thodonal – Adobe Stock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

3 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

3 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

3 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

3 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

3 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

3 semaines ago