Une nouvelle faille zero-day affecte plusieurs versions de Windows. Le CERT américain a émis une alerte en ce sens le 2 février (la nuit dernière pour l’Europe) suite à la mise en ligne d’un code d’exploitation. Lequel exploite une vulnérabilité du protocole SMB (Server Message Block) de l’OS de Microsoft. « Microsoft Windows contient un bogue de corruption de mémoire dans le traitement du trafic SMB, ce qui peut permettre à un attaquant distant et non authentifié de provoquer un déni de service ou d’exécuter potentiellement du code arbitraire sur un système vulnérable », résume le Centre de surveillance des failles informatiques.
Selon les experts du CERT, la structure SMB2 TREE_CONNECT de l’OS échoue à soutenir une requête serveur qui contient trop d’octets. En connectant un serveur SMB malveillant, l’exploitation de ce bug pourrait amener à faire planter Windows (dans mrxsmb20.sys) déclenchant l’apparition du fameux « écran bleu de la mort ». « Il n’est pas clair à ce stade si cette vulnérabilité peut être exploitable au-delà d’une attaque de déni de service, souligne le centre de sécurité US. Nous avons confirmé la panne avec les systèmes clients Windows 10 et Windows 8.1 entièrement patchés. » De son côté, le chercheur @PythonResponder, à l’origine de la publication de la faille, assure dans un tweet qu’elle affecte aussi Windows Server 2012 et Server 2016.
Le CERT confirme qu’aucun correctif n’est disponible, à la publication de l’alerte (pour l’heure sans référence CVE), pour corriger le problème. En attendant une mise à jour et pour limiter les risques, le Centre suggère simplement de bloquer les connexions sortantes SMB du réseau local vers le WAN (via les ports TCP 139 et 445 ainsi que UDP 137 et 138). Pas forcément pratique à accepter pour la production alors que ce protocole vieillissant peut encore être utilisé pour partager des fichiers et se connecter aux imprimantes d’un réseau local. Mais très recommandé. La vulnérabilité est affligée d’un CVSS 10, soit le niveau de plus élevé dans le système de notation des vulnérabilités. Autrement dit, la faille peut être exploitée à distance, y compris par des attaquants peu qualifiés. Et elle est aujourd’hui publique.
Lire également
Comment Windows 10 Anniversary Update a détourné deux attaques zero day
Le site du FBI victime d’une faille Zero Day
Backdoor et Zero Days pour plusieurs milliers de caméras IP
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…