ReDirect to SMB : Windows menacé par une faille vieille de 18 ans
Windows 10 serait aussi affecté, Microsoft relativise

Le , par Olivier Famien

26PARTAGES

4  1 
L’entreprise de sécurité informatique Cylance a découvert une nouvelle faille sur la plateforme Windows pour PC, tablettes et serveurs. Cet exploit a été baptisé « Redirect to SMB » et permet à une personne mal intentionnée de voler des informations d’identification des utilisateurs des versions passées, actuelles et même futures de Windows. Il va sans dire que la préversion de Windows 10 n’est pas épargnée par cette faille.

Le protocole SMB est le noyau de Windows gérant les communications réseau. Lorsqu’un ordinateur en marche utilise ce protocole pour accéder à une ressource, il tentera de s’authentifier avec les identifiants afin de se connecter au serveur distant SMB.

Si un utilisateur clique par exemple sur un lien de type file tel que celui-ci : ‘’file://1.1.1.1/ImportantDocument.docx ‘’ le système interprétera cette requête comme des paramètres émis et tentera de s’authentifier au serveur SMB à l’adresse 1.1.1.1.


Ceci permettrait à un attaquant de rediriger le système vers un serveur SMB infecté afin de récupérer le mot de passe émis par le système qui a été leurré. Dans pareil cas la personne à la source pourrait aller plus loin en combinant cette faille avec une attaque de type homme du milieu en écoutant toutes les communications afin de récupérer les mots de la session de l’utilisateur pour avoir un accès total à son terminal.

Toutefois, il faut préciser que le fait que les mots de passe sont fournis dans un format chiffré donne du temps à l’utilisateur de les changer à condition bien sûr de savoir que son système a été compromis.

En outre, vu le fait que ce même protocole SMB est utilisé pour les mises à jour des logiciels, Cylance rapporte que les applications d’au moins 31 entreprises dont Adobe, Apple, Box, Microsoft, Oracle et Symantec présentent cette faille.

Il faut noter qu’aucun correctif n'est disponible pour le moment. Pour se prémunir de toute attaque éventuelle, il est recommandé de bloquer l’authentification automatique avec les serveurs SMB. Pour ce faire, vous pouvez bloquer le trafic sortant des adresses TCP 139 et TCP 445.

Il est bon à savoir également que ce problème d’authentification au serveur SMB a été découvert depuis 1997 par Aaron Spangler. Microsoft n’ayant pas apporté de correctifs à cette vulnérabilité, Cylance conclut en affirmant que « Nous espérons que nos recherches vont obliger Microsoft à reconsidérer les vulnérabilités et désactiver l'authentification avec les serveurs SMB non fiables. Cela permettrait de bloquer les attaques identifiées par Spangler ainsi que la nouvelle attaque redirection vers SMB ».

Toutefois, pour Microsoft, l’exploitation de cette faille n’est pas aussi simple, car elle nécessite que plusieurs conditions soient remplies au préalable. La firme invite les utilisateurs à ne pas ouvrir les liens dans les emails provenant d’utilisateurs qu’ils ne connaissent pas.

Source : Cylance

Télécharger le rapport complet de Cylance

Et vous ?

Que pensez-vous de cette faille ?
Que pensez-vous du temps mis pour corriger cette faille ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de temoanatini
Membre averti https://www.developpez.com
Le 15/04/2015 à 10:39
vous pouvez bloquer le trafic sortant des adresses TCP 139 et TCP 445
ce ne serait pas les ports plutôt ?
2  1 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 14/04/2015 à 13:29
Cette faille vient du temps ou Microsoft ne prenait pas en compte les retours utilisateurs
donc je ne suis pas étonné, du coup ça obligeras sans doute Microsoft à faire du tris dans ses archives de correspondance
histoire de retrouver tous les cas de faille répertorié non corrigé
1  1 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 14/04/2015 à 16:34
une faille en moins pour la NSA. c'est balo, a ce train il va falloir qu'ils vendent leur os
1  3 
Avatar de cpcdos
Membre expérimenté https://www.developpez.com
Le 15/04/2015 à 8:10
@cuicui78 +1
0  2 
Avatar de Battant
Membre averti https://www.developpez.com
Le 15/04/2015 à 18:41
Bonjour,

j'ai toujours entendu parlé des faille de sécurité et je suis très intéressé par le sujet.

C'et qui exactement. un bug ?

Y'a-t-il des cours là dessus sur votre site ou en vidéo ailleurs par exemple sur youtube?

Merci pour vos renseignement

Salutations
0  1 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 15/04/2015 à 21:41
Un bug est le plus souvent une erreur non gérée ou un problème de conception, ça ne s'apprend donc pas
0  0 
Avatar de Battant
Membre averti https://www.developpez.com
Le 15/04/2015 à 21:54
Bonjour,

Je ne veux parler des bugs mais plus précisément les failles de sécurité .

Est-ce qu'une faille de sécurité au juste ?

Où est-ce qu'on trouve la doc là-dessus ?

Merci de me renseiger

Salutations
0  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 15/04/2015 à 23:12
Tu peux commencer par là : http://securite.developpez.com/cours/
0  0 
Avatar de Battant
Membre averti https://www.developpez.com
Le 15/04/2015 à 23:51
Bonjour,

Merci pour ce lien. Je regarderai à l'occasion .

Salutations
0  0 
Avatar de giles.carre
Nouveau Candidat au Club https://www.developpez.com
Le 16/04/2015 à 11:22
Le 15/04/2015 à 21:54, Battant a écrit :

Est-ce qu'une faille de sécurité au juste ?
Où est-ce qu'on trouve la doc là-dessus ?
Bonjour,

Vous pouvez consulter le site de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) accessible à www.ssi.gouv.fr. Dans le portail pour les particuliers, vous trouverez énormément d'informations utiles (guides, bonnes pratiques). Le site vient d'être recomposé et je n'y retrouve pas les tutoriels qui étaient publiés auparavant, mais il doit falloir fouiller un peu. Par curiosité, vous pouvez aussi consulter le portail Administrations ou Entreprises pour découvrir ce qui concerne les professionnels.

Cordialement
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web