Des exploits SMB qui renforcent les logiciels malveillants

Les chercheurs de Cylance l’affirment sans ambages : les exploits profitant des vulnérabilités du protocole SMB ont offert « un succès sans partage » aux auteurs de logiciels malveillants.

C’est au mois d’avril dernier que le groupe Shadow Brokers a rendu publics des outils issus de l’arsenal de l’agence américaine du renseignement, la NSA. Le premier d’entre eux à avoir fait parler de lui était EternalBlue, un exploit du protocole SMB qui est devenu un composant clé du rançongiciel raté WannaCry.

Mais EternalBlue, aux côtés d’EternalRomance, EternalSynergy et EternalChampion ou encore Double Pulsar, a été utilisé dans d’autres campagnes ultérieures, dont le fameux NotPetya, mais également Adylkuzz, qui détourne des ressources de calcul pour générer de la cryptomonnaie, et le ver EternalRocks, un ver se propageant via le réseau, aussi appelé MicroBotMassiveNet. Trend Micro vient de son côté d’alerter sur un nouveau générateur de cryptomonnaie utilisant WMI et EternalBlue pour se propager sans fichier. Il sévirait principalement au Japon et en Indonésie.

Les exploits en question ont été intégrés à des outils de test d’intrusion tels que Metasploit, qui sont régulièrement détournés de leur vocation initiale par des cyber-délinquants pour développer et tester leurs logiciels malveillants. Dans un rapport récent, les chercheurs de Kaspersky ont d’ailleurs sonné le tocsin : ces exploits ont considérablement changé la donne au second trimestre 2017. L’éditeur russe assure ainsi avoir bloqué plus de cinq millions d’attaques tirant profit de ces exploits pour compromettre des systèmes non mis à jour, entre avril et juin.

Selon Cylance, les exploits SMB se sont avérés particulièrement utiles aux cyber-délinquants parce qu’ils permettent l’exécution de code arbitraire à distance sur la machine d’une victime : « ceci, par extension, pourrait permettre à un attaquant d’obtenir de la visibilité sur des informations potentiellement sensibles au sujet de la machine elle-même, de ses utilisateurs, ou de son environnement réseau. C’est mauvais pour l’utilisateurs, mais c’est le Saint Graal pour n’importe quel attaquant ».

Et manque de chance, « il ne faut quasiment pas de compétences pour tirer profit de ces outils et accéder aux systèmes vulnérables », expliquent les chercheurs de Cylance. Ceux-ci fournissent une analyse détaillée de chacun des exploits, du shellcode qu'ils utilisent et de la porte dérobée Double Pulsar installée par chacun afin d'aider les entreprises à déterminer dans quelle mesure elles sont vulnérables.

Les chercheurs ont mis en évidence qu’EternalBlue permet à l'attaquant d'exécuter un code distant sur les machines Windows 7 utilisant SMBv2.1. Mais en raison des changements de Windows 8, cela ne fonctionne que sous Windows 7 ou plus ancien.

EternalRomance exploite le processus de traitement des transactions SMBv1, ce qui lui permet de cibler Windows 7, XP et Vista, ainsi que Windows Server 2003 et 2008.

À l'heure actuelle, toutes les implémentations des exploits SMB utilisent la porte dérobée DoublePulsar, qui comprend plusieurs étapes de shellcode, qui sont détaillées dans le billet de blog de Cylance.

L’éditeur ne manque naturellement pas de recommander d’installer au plus vite le correctif mis à disposition par Microsoft plus tôt cette année. Et cela notamment parce que les exploits concernés sont tous « très bien construits, fournissant une couverture complète des plateformes Windows, une interface de porte dérobée commune ».

Avec nos confrères de ComputerWeekly (groupe Techtarget).