WannaCry et NotPetya sont les attaques qui ont le plus focalisé l’attention de la sphère du numérique en 2017. Ensemble, le rançongiciel et le wiper ont mis à mal des centaines de milliers d’ordinateurs de par le monde. Comme socle pour ces apocalypses, les concepteurs ont utilisé EternalBlue. Il s’agit d’un exploit basé sur une faille dans le protocole Server Message Block (SMB) utilisé pour le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows.
EternalBlue restera sûrement très célèbre pour ce « fait d’armes ». Mais, l’exploit attribué à l’agence nationale pour la sécurité des États-Unis (NSA) n’est pas le seul dans son arsenal. L’on présume que celui-ci a été dérobé à la NSA puis publié en avril 2017 en même temps que trois autres exploits par un mystérieux groupe dénommé Shadow Brokers. Moins connus parce que n’affectant qu’un nombre très limité d’anciennes versions de Windows, EternalSynergy, EternalRomance, et EternalChampion reviennent à la lumière du jour grâce à une publication de Sean Dillon. Le chercheur en sécurité qui travaille pour la firme de sécurité RiskSense annonce que des versions réécrites de ces exploits existent. Ces dernières peuvent être utilisées pour mener des attaques contre toutes les versions de Windows lancées entre les années 2000 et 2016.
Dillon s’est arrangé à modifier le code des exploits pour viser deux vulnérabilités qui existent dans toutes les versions de Windows ; on parle de failles SMBv1 référencées CVE-2017-0143 et CVE-2017-0146. Elles ouvrent toutes la porte à l’exécution de code à distance sur une cible. La version réécrite d’EternalSynergy exploite les deux vulnérabilités tandis qu’EternalRomance et EternalChampion exploitent respectivement les failles CVE-2017-0143 et CVE-2017-0146.
Le code des nouveaux exploits est disponible dans le cadre du Metasploit Framework, un projet en relation avec la recherche en matière de sécurité informatique. Les travaux de Sean Dillon ont déjà bénéficié d’une revue de ses pairs. « Énorme : un exploit SMB adapté pour tourner sur toutes les versions de Windows, de 2000 à Server 2016. Il est fiable et ne cause pas de BSOD (Blue Screen of Death) comme EternalBlue. J’ai essayé sur Win2000 et XP », a écrit Kevin Beaumont, un chercheur en sécurité basé à Manchester.
Du sourire donc aux lèvres des hackers qui auront matière à remuer un peu les méninges dans les jours à venir. Seulement, voilà qui met un peu plus de pression aux organisations qui n’ont pas encore appliqué les correctifs de sécurité relatifs aux failles CVE-2017-0143 et CVE-2017-0146 pourtant disponibles depuis mars 2017. Les patchs pour EternalBlue pour leur part le sont depuis avril 2017. De nombreuses organisations ont négligé l’application de ces correctifs dès leur publication et on a pu voir les conséquences dès le 12 mai 2017 : 213 000 infections au ransomware WannaCry dans 112 pays, ce, en trois jours.
Source
Metasploit framework
Votre opinion
Quelles précautions avez-vous prises pour vous prémunir des attaques basées sur l’exploitation des failles SMB depuis l’attaque au ransomware WannaCry ?
Voir aussi
Shadow Brokers : des exploits Windows et des preuves indiquant que le réseau SWIFT aurait été compromis par la NSA ont été mis en ligne
Shadow Brokers : les exploits de la NSA désormais disponibles via un service mensuel contre 22 000 $ en Zcash
Trois exploits de la NSA réécrits pour affecter toutes les versions de Windows
Lancées à partir de l'an 2000
Trois exploits de la NSA réécrits pour affecter toutes les versions de Windows
Lancées à partir de l'an 2000
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !