Microsoft a finalement publié aujourd’hui une mise à jour logicielle d’urgence pour corriger la vulnérabilité très dangereuse récemment divulguée. vulnérabilité dans le protocole SMBv3 qui pourrait permettre aux attaquants de lancer malware vermifugequi peut se propager automatiquement d’un ordinateur vulnérable à un autre.
La vulnérabilité, repérée comme CVE-2020-0796, en question est une faille d’exécution de code à distance qui affecte Windows 10 version 1903 et 1909, et Windows Server version 1903 et 1909.
Server Message Block (SMB), qui s’exécute sur le port TCP 445, est un protocole réseau qui a été conçu pour permettre le partage de fichiers, la navigation sur le réseau, les services d’impression et la communication interprocessus sur un réseau.
La dernière vulnérabilité, pour laquelle une mise à jour du correctif (KB4551762) est maintenant disponible sur le site web de Microsoft, existe dans la façon dont le protocole SMBv3 traite les requêtes avec des en-têtes de compression, ce qui permet à des attaquants distants non authentifiés d’exécuter du code malveillant sur les serveurs ou clients cibles avec les privilèges SYSTEM.
Les en-têtes de compression sont une fonctionnalité ajoutée au protocole concerné des systèmes d’exploitation Windows 10 et Windows Server en mai 2019, conçue pour compresser la taille des messages échangés entre un serveur et les clients qui y sont connectés.
» Pour exploiter la vulnérabilité contre un serveur, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur SMBv3 ciblé. Pour exploiter la vulnérabilité contre un client, un attaquant non authentifié devrait configurer un serveur SMBv3 malveillant et convaincre un utilisateur de s’y connecter », a déclaré Microsoft dans le communiqué de presse de l’entreprise. avis.
Au moment où nous écrivons ces lignes, il n’y a qu’un seul cas connu d’utilisation d’une arme à feu. exploit PoC qui existe pour cette faille critique exploitable à distance, mais l’ingénierie inverse des nouveaux correctifs pourrait maintenant aider les pirates à trouver des vecteurs d’attaque possibles pour développer des logiciels malveillants auto-propagateurs entièrement armés.
Une autre équipe de chercheurs a également publié une analyse technique détaillée de la vulnérabilité, concluant qu’un débordement du pool du noyau est à l’origine du problème.
A ce jour, il y a près de 48 000 systèmes Windows vulnérables à la dernière vulnérabilité de la compression SMB et accessibles sur Internet.
Étant donné qu’un correctif pour la faille vermifuge SMBv3 est désormais disponible au téléchargement pour les versions de Windows concernées, il est fortement recommandé aux particuliers et aux entreprises d’installer les mises à jour dès que possible, plutôt que de se contenter de l’atténuation.
Dans les cas où la mise à jour immédiate n’est pas applicable, il est conseillé de désactiver au moins la fonction de compression SMB et de bloquer le port SMB pour les connexions entrantes et sortantes afin d’empêcher l’exploitation à distance.
Poster un commentaire