BSoD Windows : un exploit 0-day divulgué après un retard de patch

Le par  |  21 commentaire(s)
BSoD

Microsoft a toujours des relations tendues avec des chercheurs en sécurité. Exaspéré par une longue attente d'un patch existant pour une vulnérabilité découverte et rapportée en septembre, l'un d'eux passe à la divulgation publique. Heureusement, le problème paraît être moins grave que prévu.

La semaine dernière, l'US-CERT a publié une note de vulnérabilité au sujet d'un bug de corruption de mémoire présent dans Windows et affectant le traitement du trafic SMB. Server Message Block est un protocole pour le partage de ressources sur un réseau local avec des ordinateurs Windows.

" En provoquant la connexion d'un système Windows à un partage SMB malveillant, un attaquant distant peut être en mesure de causer un déni de service en faisant planter Windows ", écrit l'US-CERT qui précise que certaines techniques ne nécessitent pas d'interaction de la part de l'utilisateur.

Via le fichier mrxsmb20.sys, un BSoD (Blue Screen of Death) pour une machine cliente a été confirmé avec des configurations Windows 10 et Windows 8.1 à jour. De même pour Windows Server 2016 et 2012 R2.

Dans un premier temps, l'US-CERT avait évoqué une possibilité d'exécution de code arbitraire à distance, rendant ladite faille critique. Cette possibilité a par la suite été retirée de l'alerte et le niveau de dangerosité de la vulnérabilité a été abaissé.

Trop long...

Le chercheur en sécurité Laurent Gaffié a publié sur GitHub un code exploit pour Windows 10 et baptisé Win10.py. Il explique avoir découvert la vulnérabilité en septembre 2016 et l'avoir communiquée de manière confidentielle à Microsoft.

La firme de Redmond dispose d'un patch mais a retardé sa diffusion initialement prévue en décembre pour l'intégrer à d'autres correctifs touchant à SMB. La correction interviendra ainsi à l'occasion du prochain Patch Tuesday, soit le 14 février. Laurent Gaffié n'a pas apprécié, d'où sa divulgation publique.

Il ajoute que ce n'est pas la première fois que Microsoft agit de la sorte avec les bugs de sécurité qu'il met au jour et qu'il fait un travail gratuit dans le but d'aider les utilisateurs. Il critique dès lors le retard à l'allumage de Microsoft.

Une divulgation publique à ce stade ne devrait toutefois pas changer grand-chose à l'affaire. Les publications en urgence (hors Patch Tuesday) de Microsoft demeurent très rares. Qui plus est, l'US-CERT ne considère plus la faille critique.

Faute de patch, les mesures d'atténuation préconisées sont le blocage des connexions SMB sortantes au niveau des ports TCP 139 et 445, UDP 137 et 138.

Complément d'information
  • Windows 7 : une vulnérabilité de sécurité pérenne
    Avec une application pesant moins de 3 ko, des chercheurs en sécurité informatique ont réussi à prendre le contrôle de Windows 7. Un problème inhérent à la conception de l'OS mais dont le schéma d'exploitation n'inspire pas grande ...
  • Vulnérabilité de sécurité dans Windows Media Player
    Le célèbre lecteur multimédia de Microsoft est touché par une vulnérabilité de sécurité. Seule une preuve de concept a été publiée mais il est à craindre un exploit dans les prochains jours.

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #1950328
[Mode Troll ON]

Qu'on est bien sous Tails...


[Mode Troll OFF]

-------------->[ ]
Le #1950349
fs0ciety a écrit :

[Mode Troll ON]

Qu'on est bien sous Tails...


[Mode Troll OFF]

-------------->[ ]


Tu ne restes que sous Tails ? Jamais de windows ?
Anonyme
Le #1950372
skynet a écrit :

fs0ciety a écrit :

[Mode Troll ON]

Qu'on est bien sous Tails...


[Mode Troll OFF]

-------------->[ ]


Tu ne restes que sous Tails ? Jamais de windows ?


Of course.
(Comme dit Manu, et pourquoi faire ?)
Le #1950381
fs0ciety a écrit :

skynet a écrit :

fs0ciety a écrit :

[Mode Troll ON]

Qu'on est bien sous Tails...


[Mode Troll OFF]

-------------->[ ]


Tu ne restes que sous Tails ? Jamais de windows ?


Of course.
(Comme dit Manu, et pourquoi faire ?)


Tu bootes sur un Live-cd ?
Anonyme
Le #1950404
skynet a écrit :

fs0ciety a écrit :

skynet a écrit :

fs0ciety a écrit :

[Mode Troll ON]

Qu'on est bien sous Tails...


[Mode Troll OFF]

-------------->[ ]


Tu ne restes que sous Tails ? Jamais de windows ?


Of course.
(Comme dit Manu, et pourquoi faire ?)


Tu bootes sur un Live-cd ?


Live-usb sur une Kingston HyperX 64GB usb 3.0 avec volume persistant chiffré.
Le #1950428
fs0ciety a écrit :

skynet a écrit :

fs0ciety a écrit :

skynet a écrit :

fs0ciety a écrit :

[Mode Troll ON]

Qu'on est bien sous Tails...


[Mode Troll OFF]

-------------->[ ]


Tu ne restes que sous Tails ? Jamais de windows ?


Of course.
(Comme dit Manu, et pourquoi faire ?)


Tu bootes sur un Live-cd ?


Live-usb sur une Kingston HyperX 64GB usb 3.0 avec volume persistant chiffré.


Toutes tes données perso sont stockées et chiffrées dessus c'est ça ?
Anonyme
Le #1950443
skynet a écrit :

fs0ciety a écrit :

skynet a écrit :

fs0ciety a écrit :

skynet a écrit :

fs0ciety a écrit :

[Mode Troll ON]

Qu'on est bien sous Tails...


[Mode Troll OFF]

-------------->[ ]


Tu ne restes que sous Tails ? Jamais de windows ?


Of course.
(Comme dit Manu, et pourquoi faire ?)


Tu bootes sur un Live-cd ?


Live-usb sur une Kingston HyperX 64GB usb 3.0 avec volume persistant chiffré.


Toutes tes données perso sont stockées et chiffrées dessus c'est ça ?


Yup, pas toutes en faite, seulement ce que j'ai choisis lors de la configuration du volume persistant !

Je te fais un petit imprime écran, ça sera plus parlant :

Wait a moment plz !
Le #1950445
fs0ciety a écrit :

skynet a écrit :

fs0ciety a écrit :

skynet a écrit :

fs0ciety a écrit :

skynet a écrit :

fs0ciety a écrit :

[Mode Troll ON]

Qu'on est bien sous Tails...


[Mode Troll OFF]

-------------->[ ]


Tu ne restes que sous Tails ? Jamais de windows ?


Of course.
(Comme dit Manu, et pourquoi faire ?)


Tu bootes sur un Live-cd ?


Live-usb sur une Kingston HyperX 64GB usb 3.0 avec volume persistant chiffré.


Toutes tes données perso sont stockées et chiffrées dessus c'est ça ?


Yup, pas toutes en faite, seulement ce que j'ai choisis lors de la configuration du volume persistant !

Je te fais un petit imprime écran, ça sera plus parlant :

Wait a moment plz !


Avec plaisir, j'ai bien envie d'essayer ....
Anonyme
Le #1950450
- https://postimg.org/image/eq5sa8rb7/
- https://postimg.org/image/bhudqzjih/
- https://postimg.org/image/661ykhxbx/

Du coup je n'utilise pas tout et pas tous le temps au démarrage le volume persistant chiffré sauf quand je travail et pareil pour les droits root, tout ce configure avant chaque démarrage de Tails, ça peut paraître redondant au début mais c'est la vie Tails.
Le #1950455
fs0ciety a écrit :

- https://postimg.org/image/eq5sa8rb7/
- https://postimg.org/image/bhudqzjih/
- https://postimg.org/image/661ykhxbx/

Du coup je n'utilise pas tout et pas tous le temps au démarrage le volume persistant chiffré sauf quand je travail et pareil pour les droits root, tout ce configure avant chaque démarrage de Tails, ça peut paraître redondant au début mais c'est la vie Tails.


Tu règles tes paramètres au premier boot, puis tout ça est sauvé dans ton volume persistant c'est ça ?
Pas besoin de tout refaire à chaque boot ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]