Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Windows : une faille 0-day révélée dans SMB, le correctif espéré la semaine prochaine

Les raisons de la colère

Windows : une faille 0-day révélée dans SMB, le correctif espéré la semaine prochaine

Le 06 février 2017 à 10h40

Une faille 0-day existe dans Windows, plus spécialement dans la manière dont le système gère le trafic SMB. Un prototype d’exploitation est déjà en circulation, le chercheur souhaitant manifestement réveiller Microsoft, qui n’a pas proposé de solution au cours des cinq derniers mois.

Le protocole SMB (Server Message Block) est utilisé par Windows depuis longtemps pour lire et écrire des fichiers depuis des serveurs équipés du système de Microsoft. Un protocole très connu et présent, au point que son implémentation libre, Samba, se retrouve dans bon nombre de distributions Linux.

Une faille dans la gestion du trafic SMB

Mais Windows a actuellement un problème dans sa gestion du trafic SMB. Si des données sont récupérées depuis un serveur Windows malveillant, le système ne contrôle pas correctement une réponse spécifiquement conçue pour comporter un trop grand nombre d’informations, selon la structure SMBv3 TREE_CONNECT. Comme indiqué par le CERT américain, un bug de type « null pointer dereference » se manifeste alors, entrainant une corruption de la mémoire. Son score CVSS (Common Vulnerability Scoring System) est de 7,8 sur 10.

Les conséquences sont potentiellement nombreuses. La faille peut être exploitée pour provoquer le plantage des postes clients (via le fichier mrxsmb20.sys), mais également à déclencher des attaques par déni de service (DoS) à distance. La vulnérabilité est exploitable sur n’importe quelle machine sous Windows 10, Windows 8.1, Server 2016 ou Server 2012 R2, même si toutes les mises à jour ont été installées.

Une faille initialement remontée en septembre

Le problème principal de la faille est que, non seulement elle est simple à exploiter, mais que le code pour le faire est disponible sur un dépôt GitHub depuis ce week-end. Microsoft a en effet connaissance du problème depuis environ cinq mois et n’a toujours pas publié de correctif pour régler la situation. Prochain espoir, les bulletins de sécurité du 14 février.

Le chercheur qui a découvert la faille, Laurent Gaffie, a en effet remonté le bug à Microsoft en septembre dernier. Dans une réponse donnée à Ars Technica, il indique que le correctif est pourtant prêt : il devait être publié dans les bulletins de décembre, mais l’éditeur a décidé de le repousser à février pour corriger en même temps d’autres problèmes liés à SMB.

Le chercheur critique l'attitude de Microsoft

Gaffie se montre très critique à l’égard de l’éditeur, expliquant que ce n’est pas la première fois que Microsoft « s’assoit » sur ses remontées de problèmes. Il a donc décidé de publier le concept d’exploitation une semaine avant la publication supposée des correctifs : « Je travaille gratuitement avec eux dans le but d’aider leurs utilisateurs. Quand ils s’assoient sur un bug comme celui-là, ils ne les aident pas ».

Il se montre particulièrement agacé par la communication de l’entreprise. Une porte-parole avait en effet indiqué dans une réponse il y a quelques jours que Microsoft était la seule entreprise à s’engager envers ses clients sur l’investigation des rapports de bugs, et qu’il était préférable d’utiliser la combinaison Windows 10/Edge pour plus de sécurité. Mais non seulement le premier point est faux (de nombreuses sociétés examinent les remontées de sécurité), mais Windows 10 est tout autant concerné par la faille SMB.

En attendant que le correctif soit déployé, le CERT américain recommande de bloquer les connexions SMB sortantes sur les ports TCP 139 et 445, ainsi que les ports UDP 137 et 138.

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Encore un mec qui se crois plus important que tout les autre problèmes du monde.

votre avatar

En gros, si SMB/SaMBa est bloqué au niveau du firewall sortant, c’est bon?

votre avatar







DUNplus a écrit :



Encore un mec qui se crois plus important que tout les autre problèmes du monde.





Il souhaite simplement alerter. L’attitude de MS est moyenne si on se fie à l’article.


votre avatar

A moins de réussir à corrompre un serveur du réseau local, c’est pas une faille très exploitable dans la vie quotidienne. SMB est rarement autorisé à franchir les routeurs/pare-feux.

votre avatar







127.0.0.1 a écrit :



A moins de réussir à corrompre un serveur du réseau local, c’est pas une faille très exploitable dans la vie quotidienne. SMB est rarement autorisé à franchir les routeurs/pare-feux.







Ca fait bien longtemps que la majorité des attaques passent joyeusement les firewall…

Aujourd’hui, une attaque standard est d’envoyer un malware sur des boites mails et attendre que les utilisateurs l’execute pour ouvrir une backdoor.

A partir de là, tout est possible pour l’attaquant… Dont celui d’exploiter une faille sur un protocole foireux. A moins qu’il ne recupere joyeusement les logins/pass qui passent en clair sur un réseau interne non sécurisé comme c’est le cas la majorité du temps.


votre avatar

Si un hacker a réussi à installer une backdoor sur un PC, je ne pense pas que cette faille soit du moindre intérêt pour lui. <img data-src=" />

votre avatar

Ya une typo dans le lien, il doit manquer le http:// je pense :&nbsp;nextinpact.com Next INpact

votre avatar

Ça dépend. On peut imaginer une attaque qui nécessite une interaction avec la victime pour prendre pied dans le réseau local (ex malware dans mail) pour ensuite infecter furtivement les autres machines avec une faille comme celle-ci.

votre avatar







127.0.0.1 a écrit :



Si un hacker a réussi à installer une backdoor sur un PC, je ne pense pas que cette faille soit du moindre intérêt pour lui. <img data-src=" />







Bien sur que si… Tu ouvres une backdoor sur un PC interne et tu l’utilises comme rebond pour toutes les autres attaques vers les serveurs ou sont stockées les trucs importants. Et si tu arrives capter des accès en clair, tant mieux mais c’est pas toujours facile a faire donc tu vas utiliser des exploits sur des protocoles et des softs moisis. Et ça tombe bien car en interne, les MAJ sont pratiquement toujours à l’ouest donc c’est la fête…



Et dans ce genre de cas, le firewall qui est juste branché sur la connexion interne, la victime peux se le mettre au cul tellement il est inutile.

Aujourd’hui, c’est comme ça que ça se passe… C’est le plus simple et de loin.


votre avatar







KP2 a écrit :



Ca fait bien longtemps que la majorité des attaques passent joyeusement les firewall…

Aujourd’hui, une attaque standard est d’envoyer un malware sur des boites mails et attendre que les





ça j’en suis pas certain..


votre avatar

ne penses pas + moindre = négation qui s’annule : phrase positive : notre ami à juste rajouter une pointe d’ironie en voulant dire que cette faille peut très bien servir à un hacker <img data-src=" />

votre avatar

Et là lorsqu’on demande à microsoft une alternative à SMB, un ange passe.



Note: avant de conseiller nfs ou cifs, vérifier sa capacité d’implémentation.

votre avatar







CUlater a écrit :



Et là lorsqu’on demande à microsoft une alternative à SMB, un ange passe.



Note: avant de conseiller nfs ou cifs, vérifier sa capacité d’implémentation.





Et surtout avant de conseiller CIFS, vérifier que c’est que ce n’est pas une version antérieure de SMB <img data-src=" />


votre avatar

Tu dirais que les problèmes avec CIF sont récurant ?

votre avatar

<img data-src=" /> <img data-src=" />

votre avatar







WereWindle a écrit :



Tu dirais que les problèmes avec CIF sont récurant ?





Quel humour corrosif ! <img data-src=" />


votre avatar







KP2 a écrit :



Bien sur que si… Tu ouvres une backdoor sur un PC interne et tu l’utilises comme rebond pour toutes les autres attaques vers les serveurs ou sont stockées les trucs importants. Et si tu arrives capter des accès en clair, tant mieux mais c’est pas toujours facile a faire donc tu vas utiliser des exploits sur des protocoles et des softs moisis. Et ça tombe bien car en interne, les MAJ sont pratiquement toujours à l’ouest donc c’est la fête…







Cette faille ne permet pas de gagner l’accès (pwn) à un PC quelconque.

Cette faille fait uniquement crasher un PC qui se connecte à un serveur SMB “trafiqué”.



Si un hacker a déjà une backdoor sur un PC, il est trivial de faire crasher le PC en question. Et il y a déjà bien des moyens pour faire du DoS sur le LAN quand on a accès a un des PC. Cette faille ajoute simplement un moyen supplémentaire de faire du DoS sur le LAN.



votre avatar







127.0.0.1 a écrit :



Cette faille ne permet pas de gagner l’accès (pwn) à un PC quelconque.

Cette faille fait uniquement crasher un PC qui se connecte à un serveur SMB “trafiqué”.



Si un hacker a déjà une backdoor sur un PC, il est trivial de faire crasher le PC en question. Et il y a déjà bien des moyens pour faire du DoS sur le LAN quand on a accès a un des PC. Cette faille ajoute simplement un moyen supplémentaire de faire du DoS sur le LAN.







Oui, je suis d’accord pour cette faille en particulier (j’ai lu un peu vite ce que tu as dit et j’ai zappé la précision, désolé)

Mais le reste de ce que je dis s’applique quand meme et c’est pas un firewall qui arrete quoique ce soit dans ce genre de cas.

Aujourd’hui, la sécurité interne est autant voire même plus importante que la sécurité périmètrique…


votre avatar

Le problème avec Microsoft c’est qu’il ne corrige les failles que un jour par mois (le deuxième mardi du mois).

&nbsp;

Peu importe la grandeur de la faille, quand il y en à une est qu’elle est corrigée la moindre des choses, c’est de la déployer. Microsoft est (très) mauvais de ce coté là.

votre avatar







van25fr a écrit :



Le problème avec Microsoft c’est qu’il ne corrige les failles que un jour par mois (le deuxième mardi du mois).

 

Peu importe la grandeur de la faille, quand il y en à une est qu’elle est corrigée la moindre des choses, c’est de la déployer. Microsoft est (très) mauvais de ce coté là.





C’est doublement erroné :




  • l’idée de la diffusion mensuelle était de permettre aux boites (les grosses, notamment) de s’organiser dans leur stratégie de tests et de déploiement en production. Si tu testes un patch sur 10 jours et que 2 jours après tu en reçois un autre, tu es bon pour recommencer un truc qui aurait pu être fait en une fois.

  • ils sortent des patches en cours de mois dès qu’ils estiment (le cœur du problème est peut-être dans cette estimation) qu’il y a urgence et que correctif ne peut attendre le mois suivant.


votre avatar







van25fr a écrit :



Le problème avec Microsoft c’est qu’il ne corrige les failles que un jour par mois (le deuxième mardi du mois).





Depuis la sortie de W10, les admins râlent, car justement y a des updates 3 fois par mois ^^

&nbsp;Cette politique mensuelle était surtout vrai sous l’air W7 (et déjà moins sous W8.1).



Et sinon, la réaction de MS est compréhensible sur ce cas. La dangerosité de la faille est très limité (de fait, la plupart des choses qui n’ont pas un score de 9.X ne sont pas gravissime et ne demande normalement pas correction sur le champ), et SMB est une sacrée usine à gaz. La moindre modif et tu peux mettre plein d’intranet en rade à cause de leur pratique qui exploit des bugs de SMB.



Du coup y a rien d’étonnant au fait que MS regroupe plein de correctif pour SMB d’un coup puis passe plusieurs semaines/mois à valider sa grosse modif au près des nombreuses entreprises qui se sont inscrit chez MS pour ça.



Et là, le délai ajouté (Décembre =&gt; Février) il est plutôt dû au temps que ce genre de démarche de compatibilité poussée nécessite. C’est sur qu’un pure player comme Google n’a pas ce genre de problème et peut se permettre de pousser le vendredi un patch compilé un jeudi, mais sur un OS utilisé de la façon dont Windows est utilisé, c’est juste pas possible ça :/


votre avatar

Donc si il existe une faille 0 day le 15 février, il faut prier pour que la faille ne soit pas exploitée chez moi (pas en entreprise) si Microsoft estime que cela n’est pas grave.

Pas très génial comme solution. Je suis pas non plus pour mettre en exploitation immédiatement les patchs, il y a un juste milieux entre le jour même et un mois.



Chez moi (dons pas en entreprise) je préfère que mes systèmes soit à jour en terme de sécurité. C’est pourquoi j’ai 3 de mes machines sur 4 sous GNU\Linux (Windows c’est juste pour jouer).

Et en plus je n’ai pas à redémarrer quand j’applique les mises à jour sous GNU\Linux <img data-src=" />.

votre avatar







van25fr a écrit :



Le problème avec Microsoft c’est qu’il ne corrige les failles que un jour par mois (le deuxième mardi du mois).



Ca fait 5 mois <img data-src=" />





van25fr a écrit :



Et en plus je n’ai pas à redémarrer quand j’applique les mises à jour sous GNU\Linux <img data-src=" />.



Tu devrais.

Les processus qui n’ont pas été arrêtés tournent avec les anciennes bibiothèques,

donc les failles sont encore là.


votre avatar

Exemple concret d’utilisation : tu n’est pas obliger de quitter un programme qui peut bosser plusieurs jours à cause d’une mise à jour d’une librairie qui n’a rien à voir avec le dit programme. Les services redémarrent automatiquement.



Des serveurs sous GNU\LINUx (Debian par exemple) peuvent tourner des années sans être redémarrer et pourtant ils sont à jour dans leur bibliothèques (seul la mise à jour de noyau demande de redémarrer et encore il est possible de faire sans).

votre avatar







van25fr a écrit :



Chez moi (dons pas en entreprise) je préfère que mes systèmes soit à jour en terme de sécurité. C’est pourquoi j’ai 3 de mes machines sur 4 sous GNU\Linux (Windows c’est juste pour jouer).

Et en plus je n’ai pas à redémarrer quand j’applique les mises à jour sous GNU\Linux <img data-src=" />.





C’est tellement faux que dans Debian, il y a un paquet reboot-notifier qui permet justement de savoir s’il y a besoin de rebooter pour finir les upgrades du kernel.

Et chez RedHat, il y a cette page qui explique deux-trois trucs…&nbsp;https://access.redhat.com/solutions/27943

&nbsp;

Il y a bien Livepatch, mais ce n’est pas encore déployé partout.


votre avatar

Lit le message précédent.



J’ai deux Debian et la mise à jour de Kernel arrive 4 à 5 fois par an donc la je redémarre mais dans 99% du temps le redémarrage complet de la machine est inutile.

votre avatar







van25fr a écrit :



Donc si il existe une faille 0 day le 15 février, il faut prier pour que la faille ne soit pas exploitée chez moi (pas en entreprise) si Microsoft estime que cela n’est pas grave.

Pas très génial comme solution. Je suis pas non plus pour mettre en exploitation immédiatement les patchs, il y a un juste milieux entre le jour même et un mois.



Chez moi (dons pas en entreprise) je préfère que mes systèmes soit à jour en terme de sécurité. C’est pourquoi j’ai 3 de mes machines sur 4 sous GNU\Linux (Windows c’est juste pour jouer).

Et en plus je n’ai pas à redémarrer quand j’applique les mises à jour sous GNU\Linux <img data-src=" />.





C’est ce que je disais, ça dépend de la manière dont la gravité de la faille est jugée. Des patch hors “patch tuesday”, il y en a déjà eu plusieurs.

Après, il y a tellement de paramètres à prendre en compte, tellement de cas de figure à tester avant de diffuser un patch pour MS, puis encore des tests de non reg à faire dans la boite que tout ça est difficilement résumable en un cas générique ici, à mon sens.


votre avatar

Windows 0 Day.

votre avatar

Il suffit qu’un internaute ne prennent pas assez attention à ce qu’il reçoit, ne fasse rien, soit infecté et lorsqu’il envoie des courriels il infecte ses destinataires, c’est un grand classique qui est exploité.

Il n’y a pas - obligatoirement - un intérêt à créer une telle saloperie, le plaisir de faire chier suffit à son créateur.

votre avatar







NextInpact a écrit :



En attendant que le correctif soit déployé, le CERT américain recommande de bloquer les connexions SMB sortantes sur les ports TCP 139 et 445, ainsi que les ports UDP 137 et 138.





Cela devrait déjà être la base en fait.


votre avatar







Gilbert_Gosseyn a écrit :



Cela devrait déjà être la base en fait.





il est amusant (j’me comprends….) de voir à quel point cette phrase convient pour une quantité faramineuse de failles et de moyen de s’en prémunir (au moins partiellement) <img data-src=" />


Windows : une faille 0-day révélée dans SMB, le correctif espéré la semaine prochaine

  • Une faille dans la gestion du trafic SMB

  • Une faille initialement remontée en septembre

  • Le chercheur critique l'attitude de Microsoft

Fermer