SMBleed (CVE-2020-1206) : vos machines Windows sont en dangers !
La fonction de décompression du protocole SMB est une nouvelle fois concernée par une vulnérabilité critique, surnommée SMBleed (CVE-2020-1206) cette fois-ci. Il s'agit de la même fonction que pour les vulnérabilités SMBGhost et EternalDarkness.
J'ai évoqué cette vulnérabilité récemment dans mon article sur le Patch Tuesday de Juin 2020 mais je souhaitais revenir dessus pour que le message soit bien passé quant à cette vulnérabilité critique.
Tout d'abord, il faut savoir que cette nouvelle vulnérabilité touche Windows 10 version 1903 et 1909. La dernière version de Windows 10, à savoir 2004, sortie en mai 2020, est également touchée mais seulement par la vulnérabilité SMBleed, et non par SMBGhost. Il va donc falloir patcher vos machines, que ce soit les serveurs et les postes.
- Windows 10 v1903 : KB4560960
- Windows 10 v1909 : KB4560960
- Windows 10 v2004 : KB4557957
Pour exploiter cette vulnérabilité, l'attaquant doit avoir accès au partage qui lui sert de cible. Ensuite, grâce à l'envoi d'un message SMB spécifique, il va pouvoir récupérer à distance la mémoire du kernel de l'hôte cible. Là où c'est particulièrement dangereux, c'est que cette faille peut être couplée à SMBGhost, une faille découverte il y a trois mois. En associant SMBleed et SMBGhost, il devient possible d'exécuter du code malveillant sur un PC et de propager l'infection sur les autres ordinateurs du réseau : un joli ver informatique. Les chercheurs de ZecOps proposent même une preuve de concept de cette attaque, alors qu'un autre chercheur à lui démontré un autre moyen de réaliser une attaque similaire.
Pour rappel, le protocole SMB s'appuie sur le port 445 est sert à accéder à des partages de fichiers par le réseau. Il est très populaire en entreprise notamment pour accéder à des lecteurs réseaux.
