VULNÉRABILITÉ D'EXÉCUTION DE CODE MALVEILLANT À DISTANCE DÉCOUVERTE POUR Microsoft Server Message Block SMBv3
CVE-2020-0796
Sources
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
https://support.microsoft.com/en-us/help/4551762/windows-10-update-kb4551762
https://twitter.com/msftsecresponse/status/1237515046390882304?s=20
https://fr.tenable.com/blog/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block?tns_redirect=true
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-0796
https://powershellexplained.com/2020-03-10-Powershell-disable-smb3-compression/
Risques
Il existe vulnérabilité critique dans le protocole Microsoft SMBv3 server ou SMBv3 client. L’exploit de cette vulnérabilité peut permettre un acteur malveillant d’exécuter un code arbitraire à distance avec des privilèges SYSTEME sur un système vulnérable.
Description
Le Microsoft Server Message Block 3.1.1 (SMBv3) contient une vulnérabilité dans la manière dont il gère les connexions qui utilisent la compression, ce qui peut permettre à un acteur malveillant non-authentifié d'exécuter du code arbitraire à distance sur un système vulnérable. Cette vulnérabilité peut permettre à un attaquant distant et non authentifié d'exécuter du code arbitraire sur un système vulnérable. Il a été signalé que cette vulnérabilité est "wormable".
Une exploitation réussie de cette vulnérabilité permettrait à l'acteur malveillant d'exécuter du code arbitraire à la fois dans le serveur SMB et le client SMB.
Le 12 mars, Microsoft a publié un correctif: KB4551762, pour atténuer cette vulnérabilité. Une solution de contournement est disponible si vous ne pouvez pas installer le correctif immédiatement.
Le 31 mars, une preuve de concept a été publiée par les chercheurs García Gutiérrez (@danigargu) et Manuel Blanco Parajón (@dialluvioso_), disponible sur le lien suivant : https://github.com/danigargu/CVE-2020-0796
Solution de contournement
Désactiver la compression SMBv3
Vous pouvez désactiver la compression pour empêcher les acteurs malveillants non authentifiés d'exploiter la vulnérabilité contre un serveur SMBv3 avec la commande PowerShell ci-dessous :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Notes :
- Aucun redémarrage n'est nécessaire après avoir effectué le changement.
- Ce contournement n'empêche pas l'exploitation clients SMB.
Vous pouvez mettre en œuvre cette solution de contournement avec la commande PowerShell ci-dessous :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Bloquez inbound et outbound SMB
Envisagez de bloquer les connexions SMB sortantes (port TCP 445 pour SMBv3) du réseau local vers le WAN. Assurez-vous également que les connexions SMB provenant d'Internet ne sont pas autorisées à se connecter en entrée à un réseau local d'entreprise.
Actions recommandées
Microsoft a publié un avis concernant cette vulnérabilité. CERT.be recommande d'appliquer le correctif le plus rapidement possible !
Si vous ne pouvez pas appliquer le correctif immédiatement, veuillez appliquer la solution de contournement expliquée au-dessus. Les solutions de contournement sont également expliquées plus en détail sur ce blog.