Serveurs SMBv3 : désactiver la compression pour protéger des attaques

Mise à jour 13/03/2020 : Microsoft a entamé dans l'urgence la distribution d'un correctif.

C’est une nouvelle vulnérabilité susceptible d’être exploitée pour créer des vers, des maliciels capables de se propager seuls au sein d’un système d’information, à la manière d’un WannaCry ou d’un NotPetya. Mais celle-ci affecte la version 3 du protocole réseau SMB.

Référencée CVE-2020-0796 et surnommée SMBGhost, elle affecte les systèmes clients Windows 10 1903 et 1909, ainsi que les Windows Server 1903 et 1909, explique Microsoft dans une note d’information.

En cas d’exploitation réussie, cette vulnérabilité peut permettre à un assaillant de forcer l’exécution de code à distance sur sa cible. Et cela sans qu’aucune authentification ne soit nécessaire.

L’éditeur recommande, côté serveur, de désactiver la compression sur SMBv3, indiquant la commande PowerShell à utiliser pour cela. Et de préciser qu’aucun redémarrage n’est nécessaire à la suite. Cela permet d’éliminer le risque d’exploitation de la vulnérabilité sur les serveurs, mais pas pour les postes clients. Pour ceux-ci, Microsoft n’a pas de solution, dans l’attente d’un correctif.

L’éditeur suggère alors de bloquer le port TCP 445 pour protéger le système d’information contre les tentatives d’exploitation venant de l’extérieur. Et cela notamment sur les postes de travail eux-mêmes, via des GPO. Mais bien sûr, comme il le souligne, « les systèmes pourraient être encore vulnérables à des attaques venant de l’intérieur du périmètre de l’entreprise, ou du domaine ».

Windows Defender apparaît capable de détecter les tentatives d’exploitation de la vulnérabilité. Aucun exploit ne semble disponible pour le moment, ni même un démonstrateur d’exploitation. Mais un outil de recherche de systèmes vulnérables est déjà là.