L’entreprise de sécurité informatique Cylance a découvert une nouvelle faille sur la plateforme Windows pour PC, tablettes et serveurs. Cet exploit a été baptisé « Redirect to SMB » et permet à une personne mal intentionnée de voler des informations d’identification des utilisateurs des versions passées, actuelles et même futures de Windows. Il va sans dire que la préversion de Windows 10 n’est pas épargnée par cette faille.
Le protocole SMB est le noyau de Windows gérant les communications réseau. Lorsqu’un ordinateur en marche utilise ce protocole pour accéder à une ressource, il tentera de s’authentifier avec les identifiants afin de se connecter au serveur distant SMB.
Si un utilisateur clique par exemple sur un lien de type file tel que celui-ci : ‘’file://1.1.1.1/ImportantDocument.docx ‘’ le système interprétera cette requête comme des paramètres émis et tentera de s’authentifier au serveur SMB à l’adresse 1.1.1.1.
Ceci permettrait à un attaquant de rediriger le système vers un serveur SMB infecté afin de récupérer le mot de passe émis par le système qui a été leurré. Dans pareil cas la personne à la source pourrait aller plus loin en combinant cette faille avec une attaque de type homme du milieu en écoutant toutes les communications afin de récupérer les mots de la session de l’utilisateur pour avoir un accès total à son terminal.
Toutefois, il faut préciser que le fait que les mots de passe sont fournis dans un format chiffré donne du temps à l’utilisateur de les changer à condition bien sûr de savoir que son système a été compromis.
En outre, vu le fait que ce même protocole SMB est utilisé pour les mises à jour des logiciels, Cylance rapporte que les applications d’au moins 31 entreprises dont Adobe, Apple, Box, Microsoft, Oracle et Symantec présentent cette faille.
Il faut noter qu’aucun correctif n'est disponible pour le moment. Pour se prémunir de toute attaque éventuelle, il est recommandé de bloquer l’authentification automatique avec les serveurs SMB. Pour ce faire, vous pouvez bloquer le trafic sortant des adresses TCP 139 et TCP 445.
Il est bon à savoir également que ce problème d’authentification au serveur SMB a été découvert depuis 1997 par Aaron Spangler. Microsoft n’ayant pas apporté de correctifs à cette vulnérabilité, Cylance conclut en affirmant que « Nous espérons que nos recherches vont obliger Microsoft à reconsidérer les vulnérabilités et désactiver l'authentification avec les serveurs SMB non fiables. Cela permettrait de bloquer les attaques identifiées par Spangler ainsi que la nouvelle attaque redirection vers SMB ».
Toutefois, pour Microsoft, l’exploitation de cette faille n’est pas aussi simple, car elle nécessite que plusieurs conditions soient remplies au préalable. La firme invite les utilisateurs à ne pas ouvrir les liens dans les emails provenant d’utilisateurs qu’ils ne connaissent pas.
Source : Cylance
Télécharger le rapport complet de Cylance
Et vous ?
Que pensez-vous de cette faille ?
Que pensez-vous du temps mis pour corriger cette faille ?
ReDirect to SMB : Windows menacé par une faille vieille de 18 ans
Windows 10 serait aussi affecté, Microsoft relativise
ReDirect to SMB : Windows menacé par une faille vieille de 18 ans
Windows 10 serait aussi affecté, Microsoft relativise
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !