Plus de 100 000 machines restent vulnérables à l’exploitation de SMBGhost | WeLiveSecurity

Plus de 100 000 machines restent vulnérables à l’exploitation de SMBGhost

Un correctif pour la faille critique qui permet aux logiciels malveillants de se propager sur les machines sans aucune interaction de l'utilisateur a été publié il y a plusieurs mois.

Un correctif pour la faille critique qui permet aux logiciels malveillants de se propager sur les machines sans aucune interaction de l’utilisateur a été publié il y a plusieurs mois.

Bien que Microsoft ait publié un correctif pour la vulnérabilité critique SMBGhost dans le protocole SMB (Server Message Block) en mars dernier, plus de 100 000 machines restent vulnérables aux attaques exploitant cette faille. Cette vulnérabilité vermifuge de type RCE (Remote Code Execution) pourrait permettre à des chapeaux noirs de propager des logiciels malveillants sur les machines sans aucune interaction avec l’utilisateur.

La gravité du bogue affectant Windows 10 et Windows Server (versions 1903 et 1909) aurait dû convaincre tout le monde de corriger immédiatement leurs machines. Cependant, selon Jan Kopriva, qui a révélé ses conclusions sur les forums de cybersécurité du SANS ISC, cela ne semble pas être le cas.

« Je ne suis pas sûr de la méthode utilisée par Shodan pour déterminer si une certaine machine est vulnérable au SMBGhost, mais si son mécanisme de détection est précis, il semblerait qu’il y ait encore plus de 103 000 machines affectées accessibles depuis Internet. Cela signifierait qu’une machine vulnérable se cache derrière environ 8% de tous les IP qui ont le port 445 ouvert », souligne Mme Kopriva.

La vulnérabilité de SMBGhost, suivie sous le numéro CVE-2020-0796, est classée comme critique et obtient la note « parfaite » de 10 sur l’échelle du Common Vulnerability Scoring System (CVSS). Lors de sa découverte, la faille a été considérée comme si grave qu’au lieu de publier un correctif dans le cadre de son offre habituelle de Patch Tuesday, Microsoft a publié un correctif hors bande à la place.

« Pour exploiter la vulnérabilité contre un serveur, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur SMBv3 ciblé. Pour exploiter la vulnérabilité contre un client, un attaquant non authentifié devrait configurer un serveur SMBv3 malveillant et convaincre un utilisateur de s’y connecter », souligne Microsoft avec la publication du correctif.

C’était en mars, et des exploits accessibles au public ont rapidement fait surface, bien qu’ils n’aient permis qu’une escalade des privilèges locaux. Trois mois plus tard, cependant, la première preuve de concept (Proof-of-Concept – PoC) permettant d’obtenir la RCE a été publiée, attirant immédiatement l’attention de tous. Même la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis en a pris note et a publié un avis d’alerte indiquant que des acteurs malveillants utilisaient le PoC pour exploiter la vulnérabilité et cibler les systèmes non-patchés.

Il convient également de noter que SMBGhost peut être utilisé en tandem avec une autre vulnérabilité affectant le protocole SMBv3 – SMBleed. Selon les chercheurs de ZecOps qui ont découvert cette dernière faille, un cybercriminel capable de combiner les deux vulnérabilités pourrait réaliser une exécution de code à distance avant l’authentification.

Au risque d’énoncer une évidence, les administrateurs et les utilisateurs qui n’ont pas encore mis à jour leurs systèmes seraient bien avisés de le faire le plus tôt possible.

Infolettre

Discussion