ReDirect to SMB : Windows menacé par une faille vieille de 18 ans
Windows 10 serait aussi affecté, Microsoft relativise
Le 2015-04-14 00:37:57, par Olivier Famien, Chroniqueur Actualités
L’entreprise de sécurité informatique Cylance a découvert une nouvelle faille sur la plateforme Windows pour PC, tablettes et serveurs. Cet exploit a été baptisé « Redirect to SMB » et permet à une personne mal intentionnée de voler des informations d’identification des utilisateurs des versions passées, actuelles et même futures de Windows. Il va sans dire que la préversion de Windows 10 n’est pas épargnée par cette faille.
Le protocole SMB est le noyau de Windows gérant les communications réseau. Lorsqu’un ordinateur en marche utilise ce protocole pour accéder à une ressource, il tentera de s’authentifier avec les identifiants afin de se connecter au serveur distant SMB.
Si un utilisateur clique par exemple sur un lien de type file tel que celui-ci : ‘’file://1.1.1.1/ImportantDocument.docx ‘’ le système interprétera cette requête comme des paramètres émis et tentera de s’authentifier au serveur SMB à l’adresse 1.1.1.1.
Ceci permettrait à un attaquant de rediriger le système vers un serveur SMB infecté afin de récupérer le mot de passe émis par le système qui a été leurré. Dans pareil cas la personne à la source pourrait aller plus loin en combinant cette faille avec une attaque de type homme du milieu en écoutant toutes les communications afin de récupérer les mots de la session de l’utilisateur pour avoir un accès total à son terminal.
Toutefois, il faut préciser que le fait que les mots de passe sont fournis dans un format chiffré donne du temps à l’utilisateur de les changer à condition bien sûr de savoir que son système a été compromis.
En outre, vu le fait que ce même protocole SMB est utilisé pour les mises à jour des logiciels, Cylance rapporte que les applications d’au moins 31 entreprises dont Adobe, Apple, Box, Microsoft, Oracle et Symantec présentent cette faille.
Il faut noter qu’aucun correctif n'est disponible pour le moment. Pour se prémunir de toute attaque éventuelle, il est recommandé de bloquer l’authentification automatique avec les serveurs SMB. Pour ce faire, vous pouvez bloquer le trafic sortant des adresses TCP 139 et TCP 445.
Il est bon à savoir également que ce problème d’authentification au serveur SMB a été découvert depuis 1997 par Aaron Spangler. Microsoft n’ayant pas apporté de correctifs à cette vulnérabilité, Cylance conclut en affirmant que « Nous espérons que nos recherches vont obliger Microsoft à reconsidérer les vulnérabilités et désactiver l'authentification avec les serveurs SMB non fiables. Cela permettrait de bloquer les attaques identifiées par Spangler ainsi que la nouvelle attaque redirection vers SMB ».
Toutefois, pour Microsoft, l’exploitation de cette faille n’est pas aussi simple, car elle nécessite que plusieurs conditions soient remplies au préalable. La firme invite les utilisateurs à ne pas ouvrir les liens dans les emails provenant d’utilisateurs qu’ils ne connaissent pas.
Source : Cylance
Télécharger le rapport complet de Cylance
Et vous ?
Que pensez-vous de cette faille ?
Que pensez-vous du temps mis pour corriger cette faille ?
Le protocole SMB est le noyau de Windows gérant les communications réseau. Lorsqu’un ordinateur en marche utilise ce protocole pour accéder à une ressource, il tentera de s’authentifier avec les identifiants afin de se connecter au serveur distant SMB.
Si un utilisateur clique par exemple sur un lien de type file tel que celui-ci : ‘’file://1.1.1.1/ImportantDocument.docx ‘’ le système interprétera cette requête comme des paramètres émis et tentera de s’authentifier au serveur SMB à l’adresse 1.1.1.1.
Ceci permettrait à un attaquant de rediriger le système vers un serveur SMB infecté afin de récupérer le mot de passe émis par le système qui a été leurré. Dans pareil cas la personne à la source pourrait aller plus loin en combinant cette faille avec une attaque de type homme du milieu en écoutant toutes les communications afin de récupérer les mots de la session de l’utilisateur pour avoir un accès total à son terminal.
Toutefois, il faut préciser que le fait que les mots de passe sont fournis dans un format chiffré donne du temps à l’utilisateur de les changer à condition bien sûr de savoir que son système a été compromis.
En outre, vu le fait que ce même protocole SMB est utilisé pour les mises à jour des logiciels, Cylance rapporte que les applications d’au moins 31 entreprises dont Adobe, Apple, Box, Microsoft, Oracle et Symantec présentent cette faille.
Il faut noter qu’aucun correctif n'est disponible pour le moment. Pour se prémunir de toute attaque éventuelle, il est recommandé de bloquer l’authentification automatique avec les serveurs SMB. Pour ce faire, vous pouvez bloquer le trafic sortant des adresses TCP 139 et TCP 445.
Il est bon à savoir également que ce problème d’authentification au serveur SMB a été découvert depuis 1997 par Aaron Spangler. Microsoft n’ayant pas apporté de correctifs à cette vulnérabilité, Cylance conclut en affirmant que « Nous espérons que nos recherches vont obliger Microsoft à reconsidérer les vulnérabilités et désactiver l'authentification avec les serveurs SMB non fiables. Cela permettrait de bloquer les attaques identifiées par Spangler ainsi que la nouvelle attaque redirection vers SMB ».
Toutefois, pour Microsoft, l’exploitation de cette faille n’est pas aussi simple, car elle nécessite que plusieurs conditions soient remplies au préalable. La firme invite les utilisateurs à ne pas ouvrir les liens dans les emails provenant d’utilisateurs qu’ils ne connaissent pas.
Source : Cylance
Et vous ?
-
temoanatiniMembre avertivous pouvez bloquer le trafic sortant des adresses TCP 139 et TCP 445le 15/04/2015 à 10:39
-
TiranusKBXExpert confirméCette faille vient du temps ou Microsoft ne prenait pas en compte les retours utilisateurs
donc je ne suis pas étonné, du coup ça obligeras sans doute Microsoft à faire du tris dans ses archives de correspondance
histoire de retrouver tous les cas de faille répertorié non corrigéle 14/04/2015 à 13:29 -
TiranusKBXExpert confirméUn bug est le plus souvent une erreur non gérée ou un problème de conception, ça ne s'apprend donc pasle 15/04/2015 à 21:41
-
BattantMembre avertiBonjour,
Je ne veux parler des bugs mais plus précisément les failles de sécurité .
Est-ce qu'une faille de sécurité au juste ?
Où est-ce qu'on trouve la doc là-dessus ?
Merci de me renseiger
Salutationsle 15/04/2015 à 21:54 -
Matthieu VergneExpert éminentTu peux commencer par là : http://securite.developpez.com/cours/le 15/04/2015 à 23:12
-
BattantMembre avertiBonjour,
Merci pour ce lien. Je regarderai à l'occasion .
Salutationsle 15/04/2015 à 23:51 -
giles.carreNouveau Candidat au ClubLe 15/04/2015 à 21:54, Battant a écrit :
Est-ce qu'une faille de sécurité au juste ?
Où est-ce qu'on trouve la doc là-dessus ?
Vous pouvez consulter le site de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) accessible à www.ssi.gouv.fr. Dans le portail pour les particuliers, vous trouverez énormément d'informations utiles (guides, bonnes pratiques). Le site vient d'être recomposé et je n'y retrouve pas les tutoriels qui étaient publiés auparavant, mais il doit falloir fouiller un peu. Par curiosité, vous pouvez aussi consulter le portail Administrations ou Entreprises pour découvrir ce qui concerne les professionnels.
Cordialementle 16/04/2015 à 11:22 -
BattantMembre avertiBonjour,
j'ai toujours entendu parlé des faille de sécurité et je suis très intéressé par le sujet.
C'et qui exactement. un bug ?
Y'a-t-il des cours là dessus sur votre site ou en vidéo ailleurs par exemple sur youtube?
Merci pour vos renseignement
Salutationsle 15/04/2015 à 18:41 -
AiekickMembre extrêmement actifune faille en moins pour la NSA. c'est balo, a ce train il va falloir qu'ils vendent leur osle 14/04/2015 à 16:34
-
cpcdosMembre chevronné@cuicui78 +1le 15/04/2015 à 8:10