Le Microsoft Server Message Block 3.1.1 (SMBv3) contient une vulnérabilité dans la manière dont il gère les connexions qui utilisent la compression, ce qui peut permettre à un acteur malveillant non-authentifié d'exécuter du code arbitraire à distance sur un système vulnérable. Cette vulnérabilité peut permettre à un attaquant distant et non authentifié d'exécuter du code arbitraire sur un système vulnérable. Il a été signalé que cette vulnérabilité est "wormable".

Une exploitation réussie de cette vulnérabilité permettrait à l'acteur malveillant d'exécuter du code arbitraire à la fois dans le serveur SMB et le client SMB.

Le 12 mars, Microsoft a publié un correctif: KB4551762, pour atténuer cette vulnérabilité. Une solution de contournement est disponible si vous ne pouvez pas installer le correctif immédiatement.

Le 31 mars, une preuve de concept a été publiée par les chercheurs García Gutiérrez (@danigargu) et Manuel Blanco Parajón (@dialluvioso_), disponible sur le lien suivant : https://github.com/danigargu/CVE-2020-0796

Vous pouvez désactiver la compression pour empêcher les acteurs malveillants non authentifiés d'exploiter la vulnérabilité contre un serveur SMBv3 avec la commande PowerShell ci-dessous :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Notes :

1. Aucun redémarrage n'est nécessaire après avoir effectué le changement.
2. Ce contournement n'empêche pas l'exploitation clients SMB.

Vous pouvez mettre en œuvre cette solution de contournement avec la commande PowerShell ci-dessous :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Bloquez inbound et outbound SMB

Envisagez de bloquer les connexions SMB sortantes (port TCP 445 pour SMBv3) du réseau local vers le WAN. Assurez-vous également que les connexions SMB provenant d'Internet ne sont pas autorisées à se connecter en entrée à un réseau local d'entreprise.