SMB : un protocole Windows qui reste vulnérable

Le Patch Tuesday d’avril corrige plusieurs failles dans l’implémentation de RPC au sein de Windows. Dont une critique ouvrant la voie à des attaques par SMB.

Encore une faille RPC ? Oui, mais qui fait l’objet d’une alerte du CERT-FR. Il faut dire qu’elle est critique (score CVSS : 9,8). À tel point que Microsoft a étendu son correctif à des versions de Windows dont il n’assure normalement plus le support.

Le risque ? L’exécution de code à distance, sans authentification ni privilèges. En première ligne, le protocole SMB, vecteur de transport de nombreuses interfaces RPC.

On appliquera en priorité le correctif aux systèmes les plus critiques. Notamment les contrôleurs de domaines Active Directory. À défaut, on procédera préférentiellement à la déconnexion des systèmes affectés du réseau. Sinon, au filtrage de plusieurs ports réseau en entrée :

– TCP/139 (SMB sur NetBIOS)
– TCP/445 (SMB sur TCP ; implémenté depuis Windows 2000)
– UDP/135 et TCP/135 (communication RPC)
– La plage de ports dynamique utilisés par l’écosystème RPC (par défaut, sur les terminaux sans port d’écoute défini, les ports 1024 à 5000 sont alloués)

Le port 445 fait traditionnellement partie des plus scannés en vue d’attaques. Témoin une expérimentation que Palo Alto Networks a menée l’an dernier. Il a devancé les ports 23 (Telnet) et 22 (SSH).

On se rappellera que le tristement fameux WannaCry exploitait lui aussi SMB, par l’intermédiaire d’un kit d’exploitation exfiltré de la NSA. Bien des malwares s’étaient ensuite engouffrés dans la brèche, en réutilisant parfois le même kit. Le cryptomineur Adylkuzz en était. Comme EternalRocks, qui pouvait exploiter par moins de 7 failles SMB. Ou Bad Rabbit, inspiré quant à lui de Petya.

Deux autres vulnérabilités RPC ont fait l’objet d’une correction à l’occasion du Patch Tuesday d’avril 2022. L’une et l’autre sont jugées « importantes » ; avec là aussi, comme conséquence potentielle, l’exécution de code à distance.