En marge de son copieux Patch Tuesday de début de semaine, Microsoft avait publié un avis de sécurité au sujet d'une vulnérabilité d'exécution de code à distance affectant le protocole Microsoft Server Message Block 3.1.1 (SMBv3). En tout cas au niveau de l'implémentation.
Notamment introduite dans Windows 10, SMBv3 est la dernière et version actuelle du protocole SMB pour le partage de ressources sur des réseaux locaux. La vulnérabilité existe dans une fonctionnalité ajoutée à partir de Windows 10 version 1903 pour la compression SMBv3.1.1.
" Pour exploiter la vulnérabilité, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur SMBv3 ciblé. Pour exploiter la vulnérabilité avec un client SMB, un attaquant non authentifié devrait configurer un serveur SMBv3 malveillant et convaincre un utilisateur de s'y connecter ", a alerté Microsoft.
Lors de la publication de son avis de sécurité, Microsoft avait souligné ne pas avoir connaissance d'une divulgation publique ou d'un exploit. Néanmoins, cela n'évacuait pas le risque d'une vulnérabilité wormable avec un exploit du type EternalBlue qui avait servi à la propagation de WannaCry en 2017 (même si cela avait concerné d'anciennes versions de SMB).
The update for this vulnerability is available here: https://t.co/3iEiqauVTn https://t.co/YOKcnCxX6a
— Security Response (@msftsecresponse) March 12, 2020
Microsoft propose désormais un patch pour cette vulnérabilité critique avec le protocole SMBv3. Elle est référencée CVE-2020-0796. Le correctif est diffusé pour Windows 10 et Windows Server. Jusqu'à présent, seules des mesures de contournement avaient été proposées avec la désactivation de la compression pour SMBv3 et le blocage du port TCP 445.
Il semble avoir eu un imbroglio avec la vulnérabilité dont l'existence n'aurait initialement pas dû être communiquée ce mois-ci, d'où une certaine forme de précipitation avec la diffusion du correctif. Des chercheurs en sécurité ont été en mesure de développer des démonstrations - pas forcément abouties - de preuves de concept.
We've just finished our first internet wide scan for CVE-2020-0796 and have identified 48000 vulnerable hosts. We'll be loading this data into Telltale for CERTs and organisations to action. We're also working on a blog post with more details (after patch).
— Kryptos Logic (@kryptoslogic) March 12, 2020
Après un premier scan internet pour la vulnérabilité CVE-2020-0796, Kryptos Logic a identifié plusieurs dizaines de milliers d'hôtes vulnérables.
