Une nouvelle faille zero-day affecte plusieurs versions de Windows. Le CERT américain a émis une alerte en ce sens le 2 février (la nuit dernière pour l’Europe) suite à la mise en ligne d’un code d’exploitation. Lequel exploite une vulnérabilité du protocole SMB (Server Message Block) de l’OS de Microsoft. « Microsoft Windows contient un bogue de corruption de mémoire dans le traitement du trafic SMB, ce qui peut permettre à un attaquant distant et non authentifié de provoquer un déni de service ou d’exécuter potentiellement du code arbitraire sur un système vulnérable », résume le Centre de surveillance des failles informatiques.
Selon les experts du CERT, la structure SMB2 TREE_CONNECT de l’OS échoue à soutenir une requête serveur qui contient trop d’octets. En connectant un serveur SMB malveillant, l’exploitation de ce bug pourrait amener à faire planter Windows (dans mrxsmb20.sys) déclenchant l’apparition du fameux « écran bleu de la mort ». « Il n’est pas clair à ce stade si cette vulnérabilité peut être exploitable au-delà d’une attaque de déni de service, souligne le centre de sécurité US. Nous avons confirmé la panne avec les systèmes clients Windows 10 et Windows 8.1 entièrement patchés. » De son côté, le chercheur @PythonResponder, à l’origine de la publication de la faille, assure dans un tweet qu’elle affecte aussi Windows Server 2012 et Server 2016.
Le CERT confirme qu’aucun correctif n’est disponible, à la publication de l’alerte (pour l’heure sans référence CVE), pour corriger le problème. En attendant une mise à jour et pour limiter les risques, le Centre suggère simplement de bloquer les connexions sortantes SMB du réseau local vers le WAN (via les ports TCP 139 et 445 ainsi que UDP 137 et 138). Pas forcément pratique à accepter pour la production alors que ce protocole vieillissant peut encore être utilisé pour partager des fichiers et se connecter aux imprimantes d’un réseau local. Mais très recommandé. La vulnérabilité est affligée d’un CVSS 10, soit le niveau de plus élevé dans le système de notation des vulnérabilités. Autrement dit, la faille peut être exploitée à distance, y compris par des attaquants peu qualifiés. Et elle est aujourd’hui publique.
Lire également
Comment Windows 10 Anniversary Update a détourné deux attaques zero day
Le site du FBI victime d’une faille Zero Day
Backdoor et Zero Days pour plusieurs milliers de caméras IP
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…