Other official information and services: www.belgium.be

Exécution de code malveillant à distance - SMBGhost pour Microsoft SMBv3 maintenant utilisé en conjonction avec SMBleed

Référence:

Advisory #2020-019

Version:

1.0

Logiciels concernés :

Windows 10 Version 2004 (< KB4551762)

Windows 10 Version 1909 (< KB4551762)

Windows 10 Version 1903 (KB4551762, KB4512941)

Type:

Vulnérabilité de fuite de données, Exécution de code malveillant à distance (RCE)

CVE/CVSS:

CVE-2020-0796
CVE-2020-1206

Date:

10/06/2020

Sources

https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/
https://nvd.nist.gov/vuln/detail/CVE-2020-0796
https://nvd.nist.gov/vuln/detail/CVE-2020-1206
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

Risques

La vulnérabilité CVE-2020-1206 (SMBleed) pourrait permettre à un acteur malveillant de divulguer des informations privées à distance.
Cela peut être réalisé grâce à l'utilisation d'un shell de commande obtenu par le CVE-2020-0796 (SMBGhost) permettant ainsi à un acteur malveillant d'effectuer la deuxième attaque pour obtenir les informations ciblées.

Description

Une preuve de concept a été publiée (par l'équipe de recherche ZecOPS) sur la manière d'utiliser une vulnérabilité au sein du protocole SMBv3 permettant d'obtenir des informations privées. Cette vulnérabilité impacte les serveurs et clients Windows.

Au début de l'année, le CVE-2020-0796 a été découvert et pourrait permettre l'exécution de code malveillant à distance grâce à la façon avec laquelle SMB version 3.1.1 de Microsoft gère ses connexions qui utilisent la compression.
Dans la même fonction Srv2DecompressData du driver de serveur SMB, une nouvelle vulnérabilité a été découverte.

Pour exploiter le CVE-2020-1206, un acteur malveillant aurait normalement besoin d'informations d'identification et d'un partage en écriture. En raison du bug affectant chaque message, il pourrait potentiellement être exploité sans authentification. Cela conduit les systèmes concernés à perdre des informations en mémoire au niveau du noyau.

Des correctifs ont été publiés pour résoudre ces vulnérabilités.

Actions recommandées

CERT.be recommande d'installer toutes les dernières mises à jour pour les versions de Windows concernées, elles se trouvent sur le portail officiel de Microsoft. Veuillez trouver la mise à jour appropriée pour l'exécution de code à distance ici et la vulnérabilité de divulgation d'informations ici.