Une faille de partage de fichiers Windows zéro jour peut faire planter les systèmes, peut-être pire

La mise en œuvre du protocole de partage de fichiers réseau SMB dans Windows présente une grave vulnérabilité qui pourrait permettre aux pirates informatiques, à tout le moins, de planter des systèmes à distance.

La vulnérabilité non corrigée a été révélée publiquement jeudi par un chercheur indépendant en sécurité nommé Laurent Gaffié, qui affirme que Microsoft a retardé la publication d'un correctif pour la faille au cours des trois derniers mois..

Gaffié, connu sur Twitter sous le nom de PythonResponder, a publié un exploit de preuve de concept pour la vulnérabilité sur GitHub, déclenchant un avis du Centre de coordination CERT (CERT / CC) de l'Université Carnegie Mellon.

"Microsoft Windows contient un bogue de corruption de mémoire dans la gestion du trafic SMB, qui peut permettre à un attaquant distant non authentifié de provoquer un déni de service ou potentiellement d'exécuter du code arbitraire sur un système vulnérable", a déclaré CERT / CC dans l'avis..

L'implémentation par Microsoft du protocole Server Message Block (SMB) est utilisée par les ordinateurs Windows pour partager des fichiers et des imprimantes sur un réseau et gère également l'authentification à ces ressources partagées.

La vulnérabilité affecte Microsoft SMB version 3, la version la plus récente du protocole. CERT / CC a confirmé que l'exploit peut être utilisé pour planter des versions entièrement corrigées de Windows 10 et Windows 8.1.

Un attaquant peut exploiter la vulnérabilité en trompant un système Windows pour se connecter à un serveur SMB malveillant qui enverrait alors des réponses spécialement conçues. Il existe un certain nombre de techniques pour forcer de telles connexions SMB et certaines nécessitent peu ou pas d'interaction avec l'utilisateur, a averti CERT / CC.

La bonne nouvelle est qu'il n'y a pas encore de rapports confirmés d'exécution réussie de code arbitraire à travers cette vulnérabilité. Cependant, s'il s'agit d'un problème de corruption de mémoire tel que décrit par CERT / CC, l'exécution de code peut être une possibilité.

"Les plantages que nous avons observés jusqu'à présent ne se manifestent pas d'une manière qui suggère une exécution de code simple, mais cela peut changer, cependant, car nous avons le temps de l'analyser plus en profondeur", a déclaré Carsten Eiram, le directeur de la recherche. agent de la firme de renseignement sur la vulnérabilité Risk Based Security, par courriel. "Ce n'est que la première étape de l'analyse."

La société de Carsten a également confirmé le crash sur un système Windows 10 entièrement corrigé, mais n'a pas encore établi s'il s'agit simplement d'un crash de déréférencement de pointeur NULL ou du résultat d'un problème plus profond qui pourrait avoir un impact plus grave. Juste pour être sûr, la société suit le guide du CERT / CC en traitant cela comme une faille potentielle d'exécution de code. Le CERT / CC a marqué l'impact de cette vulnérabilité avec 10, le maximum dans le Common Vulnerability Scoring System (CVSS).

Gaffié a déclaré sur Twitter que Microsoft prévoyait de corriger ce problème lors de son prochain "Patch Tuesday", qui tombera ce mois-ci le 14 février - le deuxième mardi du mois. Cependant, il est possible que Microsoft sorte de son cycle de correctifs normal si la vulnérabilité est en effet critique et commence à être exploitée dans la nature.

Microsoft n'a pas immédiatement répondu à une demande de commentaire.

CERT / CC et Eiram conseillent tous les deux aux administrateurs réseau de bloquer les connexions SMB sortantes - ports TCP 139 et 445 ainsi que les ports UDP 137 et 138 - des réseaux locaux à Internet. Cela n'éliminera pas complètement la menace, mais l'isolera sur les réseaux locaux.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.