Mis à jour le 12 mars
Tous les médias parlent de la nouvelle vulnérabilité RCE CVE-2020-0796 qui affecte les systèmes d’exploitation Windows 10 et Windows Server, et plus particulièrement le protocole Microsoft Server Message Block 3.1.1. Selon Microsoft, un cybercriminel peut exploiter cette vulnérabilité pour exécuter un code arbitraire du côté du serveur SMB ou du client SMB. Pour s’en prendre au serveur, il suffit de lui envoyer un paquet spécialement créé pour cette action. Quant au client, les pirates informatiques doivent configurer un serveur SMBv3 malveillant et convaincre l’utilisateur de s’y connecter.
Les experts en cybersécurité pensent que cette vulnérabilité pourrait être utilisée pour lancer un ver similaire à WannaCry. Microsoft considère que cette vulnérabilité est critique et que vous devriez la fermer dès que possible.
Qui est menacé ?
SMB est un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. Il est utilisé pour configurer les fonctions réseau, et le partage de fichiers et imprimantes de Microsoft Windows. Si votre entreprise utilise ces fonctions alors vous devez vous inquiéter.
Microsoft Server Message Block 3.1.1 est un protocole assez récent que seuls les nouveaux systèmes d’exploitation utilisent :
- Windows 10 Version 1903 pour systèmes 32 bits
- Windows 10 Version 1903 pour ARM64-based Systems
- Windows 10 Version 1903 pour systèmes x64
- Windows 10 Version 1909 pour systèmes 32 bits
- Windows 10 Version 1909 pour ARM64-based Systems
- Windows 10 Version 1909 pour systèmes x64
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
La vulnérabilité ne concerne pas Windows 7, 8, 8.1 et les versions antérieures. Il s’avère toutefois que la plupart des ordinateurs modernes, ayant activé l’installation automatique des mises à jour, sont sous Windows 10. Par conséquent, il est fort probable que de nombreux dispositifs, personnels et professionnels, soient vulnérables.
Les cybercriminels exploitent-ils la vulnérabilité CVE-2020-0796 ?
Selon Microsoft, la vulnérabilité CVE-2020-0796 n’a pas encore été utilisée pour perpétrer des attaques ; du moins personne n’a signalé en avoir été victime. Le problème est qu’il n’existe aucun patch pour CVE-2020-0796. En attendant, les renseignements relatifs à cette vulnérabilité sont publiquement disponibles depuis le 10 mars. Un exploit peut apparaître à n’importe quel moment, si ce n’est pas déjà le cas.
Que faire ?
Mise à jour du 12 mars : Microsoft a lancé une mise à jour sécurité pour corriger cette vulnérabilité. Vous pouvez la télécharger ici.
Étant donné qu’il n’existe aucun patch, vous devez fermer la vulnérabilité et utiliser des solutions alternatives. Microsoft vous conseille de faire ce qui suit pour bloquer l’exploitation de cette vulnérabilité.
Pour les serveurs SMB :
- Vous pouvez empêcher l’exploitation de cette vulnérabilité en utilisant une commande PowerShell :
Set-ItemProperty -Path « HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters » DisableCompression -Type DWORD -Value 1 –Force
Pour les clients SMB :
- Comme pour WannaCry, Microsoft recommande de bloquer le port TCP 445 au niveau du périmètre du pare-feu de l’entreprise.
De plus, vérifiez que vous disposez bel et bien d’une solution de sécurité de confiance comme Kaspersky Endpoint Security for Business. Entre autres technologies, ce programme dispose d’un sous-système de prévention d’exploit qui protège les terminaux, même des vulnérabilités inconnues.