Comprendre la vulnérabilité similaire à EternalBlue référencée CVE-2020-0796 (SMBv3)

Comprendre la vulnérabilité similaire à EternalBlue référencée CVE-2020-0796 (SMBv3)

Durant le traditionnel Patch Tuesday du mois mars de Microsoft, l’éditeur a publié un bulletin de sécurité concernant la vulnérabilité référencée CVE-2020-0796, affectant les serveurs SMBv3 et qualifiée comme « wormable » par Microsoft.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Mise à jour du 12/03/2020 : Microsoft a publié un correctif de sécurité corrigeant cette vulnérabilité à l’adresse suivante : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796.

 

Détails et impacts de la vulnérabilité

La faille de sécurité référencée CVE-2020-0796 provient d’une erreur au sein de la gestion des connexions entrantes qui utilisent la compression sur le protocole Server Message Block 3.1.1 (SMBv3). Un attaquant parvenant à exploiter cette vulnérabilité peut exécuter du code arbitraire à distance sans authentification préalable.

On distingue deux scénarios permettant l’exploitation de la vulnérabilité :

  • Tous les serveurs SMBv3 ayant la fonctionnalité de compression activée ;
  • Tous les clients se connectant à un serveur malveillant via le protocole SMBv3.

Microsoft a indiqué qu’a minima les versions suivantes de Windows sont impactées :

  • Windows 10 ;
  • Windows Server 1903 ;
  • Windows Server 1909.

Cette vulnérabilité est considérée de wormable, ce qui signifie que la vulnérabilité peut être exploitée de manière automatique sans interaction utilisateur, à l’image de la vulnérabilité EternalBlue (MS17-010), ayant causé la vague d’attaques par ransomware WannaCry et NotPetya.

À ce jour, aucun code d’exploitation n’est publiquement disponible. Microsoft a indiqué ne pas avoir connaissance de campagnes exploitant cette vulnérabilité.

Comment se protéger ?

Le CERT-XMCO recommande l’application de ce correctif en toute urgence pour éviter une compromission opportuniste.

Il est également possible de se protéger de cette vulnérabilité via les mesures de contournement suivantes :

Mesures de contournement appliquées au niveau système

Deux cas sont à distinguer :

  • Pour les serveurs Windows, il est possible de se prémunir de la vulnérabilité en désactivant la compression SMB via la commande Powershell suivante : Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force L’application de cette mesure ne nécessite pas de redémarrer le serveur.
  • Pour les clients Windows, il n’existe pour l’instant aucune mesure de contournement au niveau système.

Mesures de contournement appliquées au niveau réseau

Il est recommandé de ne pas exposer le service SMB directement sur Internet et de filtrer le port 445/TCP (SMB) pour les flux entrants au niveau des pare-feux.

 


Références

Current: VU#872016 Microsoft SMBv3 compression remote code execution vulnerability

ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression

March 12, 2020—KB4551762 (OS Builds 18362.720 and 18363.720)

Référence XMCO

CXN-2017-1861

CXN-2020-1278


Aurélien Denis