ReDirect to SMB

ReDirect to SMB : Windows menacé par une faille vieille
de 18 ans
Windows 10 serait aussi affecté, Microsoft relativise
Le 14 avril 2015, par Olivier Famien, Chroniqueur Actualités
L’entreprise de sécurité informatique Cylance a découvert une nouvelle
faille sur la plateforme Windows pour PC, tablettes et serveurs. Cet exploit
a été baptisé « Redirect to SMB » et permet à une personne mal
intentionnée de voler des informations d’identification des utilisateurs des
versions passées, actuelles et même futures de Windows. Il va sans dire
que la préversion de Windows 10 n’est pas épargnée par cette faille.
Le protocole SMB est le noyau de Windows gérant les communications
réseau. Lorsqu’un ordinateur en marche utilise ce protocole pour accéder
à une ressource, il tentera de s’authentifier avec les identifiants afin de se
connecter
au
serveur
distant
SMB.
Si un utilisateur clique par exemple sur un lien de type file tel que celui-ci
: ‘’file://1.1.1.1/ImportantDocument.docx ‘’ le système interprétera cette
requête comme des paramètres émis et tentera de s’authentifier au
serveur SMB à l’adresse 1.1.1.1.
Ceci permettrait à un attaquant de rediriger le système vers un serveur
SMB infecté afin de récupérer le mot de passe émis par le système qui a
été leurré. Dans pareil cas la personne à la source pourrait aller plus loin
en combinant cette faille avec une attaque de type homme du milieu en
écoutant toutes les communications afin de récupérer les mots de la
session de l’utilisateur pour avoir un accès total à son terminal.
Toutefois, il faut préciser que le fait que les mots de passe sont fournis
dans un format chiffré donne du temps à l’utilisateur de les changer à
condition bien sûr de savoir que son système a été compromis.
En outre, vu le fait que ce même protocole SMB est utilisé pour les mises
à jour des logiciels, Cylance rapporte que les applications d’au moins 31
entreprises dont Adobe, Apple, Box, Microsoft, Oracle et Symantec
présentent
cette
faille.
Il faut noter qu’aucun correctif n'est disponible pour le moment. Pour se
prémunir de toute attaque éventuelle, il est recommandé de bloquer
l’authentification automatique avec les serveurs SMB. Pour ce faire, vous
pouvez bloquer le trafic sortant des adresses TCP 139 et TCP 445.
Il est bon à savoir également que ce problème d’authentification au
serveur SMB a été découvert depuis 1997 par Aaron Spangler. Microsoft
n’ayant pas apporté de correctifs à cette vulnérabilité, Cylance conclut en
affirmant que « Nous espérons que nos recherches vont obliger Microsoft
à reconsidérer les vulnérabilités et désactiver l'authentification avec les
serveurs SMB non fiables. Cela permettrait de bloquer les attaques
identifiées par Spangler ainsi que la nouvelle attaque redirection vers SMB
».
Toutefois, pour Microsoft, l’exploitation de cette faille n’est pas aussi
simple, car elle nécessite que plusieurs conditions soient remplies au
préalable. La firme invite les utilisateurs à ne pas ouvrir les liens dans les
emails
provenant
d’utilisateurs
qu’ils
ne
connaissent
pas.
Source : Cylance
Télécharger le rapport complet de Cylance