Le protocole SMB est un protocole optimisé pour le partage des fichiers et autres ressources (imprimantes, etc.) dans un réseau local. Le mois dernier, de nombreuses entreprises et organisations ont fait face à une cyberattaque massive ciblant des centaines de milliers d’ordinateurs. Ces attaques ont été favorisées par l’exploitation de failles SMB qui furent au préalable exploitées par la NSA avant que ces forfaits soient divulgués par le groupe Shadow Brokers et plus tard utilisées par des tiers malveillants pour prendre en otage les données des systèmes vulnérables avec le ransomware WannaCry et d’autres variantes de malwares semblables.
Aussi, vu le rôle que ce protocole a joué dans la propagation des ransomwares et d'autres malwares par ailleurs, le site de sécurité informatique Bleeping Computer rapporte que Microsoft s’apprêterait à désactiver ce protocole SMB version 1 (SMBv1) dans la prochaine mise à jour majeure du système d’exploitation Windows 10 baptisée Fall Creators Update.
Il convient de rappeler que malgré que protocole SMBv1 est configuré pour être utilisé localement, il est possible de le configurer pour une utilisation à distance via internet. Dans sa version 1, il a été intégré pour la dernière fois comme protocole unique dans Windows XP. À partir de Windows Vista et Windows Server 2008 R2, une version 2 a été conçue aux côtés de la première version. Par ailleurs dans Windows 8, Windows 8.1, Windows 10, Windows Server 2012 et Windows Server 2016, Microsoft a intégré SMBv3 en plus des versions précédentes de SMB.
Ce protocole SMBv3 s’avère plus sûr, plus rapide avec des fonctionnalités nouvelles dont la reconnexion sans interruption aux nœuds de cluster durant les opérations de maintenance ou de basculement, l’accès simultané aux données partagées sur tous les nœuds de cluster de fichiers, l’ajout de la prise en charge réseau RDMA pour des performances très élevées, le chiffrement de bout en bout et la protection contre l’espionnage sur des réseaux non fiables, l’optimisation des performances pour les petites entrées et sorties de lecture et écriture aléatoires et bien d’autres fonctionnalités supplémentaires.
Toutefois, avant même la désactivation du protocole SMBv1 dans la prochaine mise à jour majeure de Windows 10, Microsoft aurait de manière interne déjà implémenté des versions de Windows avec le protocole SMBv1 désactivé à des fins de tests, rapporte Bleeping Computer. Les systèmes concernés seraient Windows 10 Enterprise and Windows Server 2016.
En outre, il faut souligner que bien que ce protocole SMBv1 ait beaucoup fait parler de lui avec la propagation du ransomware WannaCry, ce n’est cependant pas la première fois qu’une faille concernant ce protocole est rapportée. En 2015, l’entreprise Cylance a découvert des failles liées à ce protocole qui pourraient être utilisées par des personnes tapies dans l’ombre afin de récupérer les identifiants automatiques pour le serveur SMB en redirigeant le système vers un serveur SMB infecté. Avec ces identifiants, des personnes pourraient utiliser des attaques de type homme du milieu pour espionner et collecter toutes les données provenant du système corrompu. Quoique ce problème d’authentification ait été découvert depuis des années 1997, Microsoft n’a pas apporté de correctifs.
Selon les propos confiés par Ned Pyle - directeur de programme principal dans le groupe de haute disponibilité et de stockage Microsoft Windows Server - à Bleeping Computer, la décision de désactiver SMBv1 daterait de plusieurs années. Mais même si c’est le cas, les récents évènements auraient également contribué à accélérer cette décision pour le grand public. Aussi, dans la prochaine mise à jour majeure de Windows 10 ou Windows Server 2016, souligne Pyle, certaines fonctionnalités de SMBv1 ou toutes ces fonctionnalités seraient désactivées.
Les utilisateurs qui ont des applications liées à ce protocole pourront se tourner vers SMBv2 qui est capable de faire les mêmes choses que SMBv1 fait en plus de ses fonctionnalités supplémentaires. Toutefois, si ces applications exigent la présence de SMBv1 pour fonctionner, les utilisateurs n’auront d’autres choix que de demander aux éditeurs de mettre à jour leurs applications pour qu’elles tournent avec SMBv1 ou v2.
Source : Bleeping Computer
Et vous ?
Que pensez-vous de cette décision de désactiver ce protocole SMBv1 ?
Pourrait-il freiner les exploits sur Windows ?
Voir aussi
EternalRocks : le malware ciblant le service SMB s'appuie sur sept exploits de la NSA, tandis que WannaCry n'en utilise que deux
ReDirect to SMB : Windows menacé par une faille vieille de 18 ans, Windows 10 serait aussi affecté, Microsoft relativise
Microsoft dévoile Windows 10 Fall Creators Update, la prochaine mise à jour majeure de Windows 10 qui pourrait sortir en automne
Microsoft pourrait désactiver le protocole SMBv1 dans Fall Creators Update
Afin d'empêcher son exploitation pour mener des attaques sur Windows
Microsoft pourrait désactiver le protocole SMBv1 dans Fall Creators Update
Afin d'empêcher son exploitation pour mener des attaques sur Windows
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !