Windows : une faille vieille de 18 ans

Le par  |  8 commentaire(s) Source : Cylance
Bugzilla-logo

Ayant pour une origine un bug de 18 ans d'âge, une vulnérabilité de sécurité dite " Redirect to SMB " permet à des attaquants de voler des identifiants et ce pour toutes les versions de Windows.

La société de sécurité Cylance rapporte la découverte d'une nouvelle attaque permettant à des attaquants de dérober des identifiants de connexion depuis n'importe quel appareil fonctionnant avec toutes les versions de Windows. Même la préversion de Windows 10 est concernée.

Cette attaque a été baptisée " Redirected to SMB ". Elle implique une nouvelle technique avec pour vecteur une redirection HTTP mais fait écho à un type de problème antérieur et relatif à SMB (Server Message Block) qui est un protocole pour le partage de ressources sur un réseau local avec des ordinateurs Windows.

Il s'agit d'un détournement des communications avec des serveurs Web légitimes par le biais d'attaques man-in-the-middle. Ces communications sont envoyées vers des serveurs SMB malveillants qui récupèrent le nom d'utilisateur de la victime, le domaine et le mot de passe haché. Le mot de passe n'étant pas en clair, le chiffrement devra être cassé par force brute… d'où l'intérêt d'un mot de passe fort.

Le bug sous-jacent - et non corrigé - avait été découvert en 1997 mais à l'époque limité à Internet Explorer. Pour Redirect to SMB, la vulnérabilité affecterait au moins plus d'une trentaine d'applications* sur toutes les versions de Windows.

Le CERT de l'Université Carnegie Mellon a publié une note de vulnérabilité en rapport avec Redirect to SMB :

" Des requêtes HTTP utilisées par des logiciels fonctionnant sur Windows peuvent être transmises à un protocole file:// sur un serveur malveillant. Dans certaines circonstances, Windows va automatiquement tenter l'authentification au serveur malveillant via SMB. "

On comprendra donc qu'avec une URL malveillante du type file:// (ou un lien malveillant), la vulnérabilité fait que Windows l'interprète comme une tentative par l'utilisateur d'avoir un accès à un fichier sur un serveur et fournit automatiquement ses identifiants.

Cylance-Redirect-to-SMB
La vulnérabilité n'a cependant pas été observée (ou exploitée) dans la nature, comme le dit la formule consacrée. Un porte-parole de Microsoft a en outre déclaré à CNET être en désaccord avec les déclarations de Cylance concernant un nouveau type d'attaque.

Pour le CERT, il n'y a actuellement pas de solution complète au problème mais plusieurs solutions de contournement à prendre en considération : blocage des connexions SMB sortantes (ports TCP 139 et 445), un mot de passe fort et régulièrement changé...


* Adobe Reader, Apple QuickTime, Apple Software Update, Internet Explorer, Windows Media Player, Excel 2010, Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, .NET Reflector, Maltego CE, Box Sync, TeamViewer, Github pour Windows, PyCharm, IntelliJ IDEA, PHP Storm, installateur JDK 8u31.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1839452
"un bug de 18 ans d'âge" ... Château Windows Grand Cru Bourgeois... A consommer avec modération
Le #1839453

Le #1839462
C'est pas comme si les ports 139 et 445 n'étaient pas déjà bloqué par Openoffice (vous savez, le parefeu...). Ah oui, ils le sont, du moins sur nos box.
Le #1839463
Ah, je suis dans le mille
Le #1839474
Attendre 18 ans, pour dévoiler cette faille et y remédier ....
On va compter les dégâts provoqués ?
Le #1839478
Maintenant qu'elle est publiée il va y avoir des dizaines voir des milliers d’attaque de ce type avant que cette faille ne soit comblé par MS.
Le #1839487
micropastis a écrit :

Maintenant qu'elle est publiée il va y avoir des dizaines voir des milliers d’attaque de ce type avant que cette faille ne soit comblé par MS.


surtout que XP est concerne et encore tres tres courant... et plus supporté.
Le #1839496
Ulysse2K a écrit :

"un bug de 18 ans d'âge" ... Château Windows Grand Cru Bourgeois... A consommer avec modération


Une robe aux reflets bleu pigeon tirant sur le BSOD, un nez aux relents de sapin, un gout de chiotte et ceux qui en consomme deviennent fous.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]