Sécurité IT : le protocole SMB problématique sous Windows
Cylance estime que Windows est exposé à une faille de sécurité critique au travers des applications et services qui exploitent le protocole SMB.
PC, tablettes, serveurs : des centaines de millions de machines tournant sous Windows sont exposées à une vulnérabilité qui peut entraîner le vol de données sensibles comme des identifiants de connexion et des mots de passe.
Tel est le constat établi par Cylance. L’éditeur américain, spécialisé dans les technologies d’apprentissage automatique appliquées à la sécurité informatique, avait communiqué le fruit de ses recherches à la cellule CERT de l’université Carnegie Mellon le 27 février dernier. Une alerte publique a finalement été émise ce 13 avril.
Les aspects techniques sont abordés dans un rapport – document PDF, 18 pages – publié en parallèle. On y apprend que la faille en question est exploitable dans les logiciels de plus d’une trentaine de sociétés parmi lesquelles Adobe, Microsoft et Oracle.
A l’origine des travaux de Cylance, une brèche découverte en 1997 par le dénommé Aaron Spangler dans l’environnement Windows et dans le navigateur Internet Explorer. Ce chercheur avait déterminé qu’une requête sur une adresse URL préfixée en « file » (de type file://1.1.1.1/) déclenchait une tentative de connexion sur SMB.
Ce protocole, dont l’acronyme est utilisé pour « Server Message Block », est intégré nativement sur les systèmes Windows pour gérer l’authentification réseau, que ce soit pour l’accès à des fichiers, le partage d’imprimantes ou encore l’administration distante. Il suppose la communication, entre un client et un serveur, d’un identifiant et d’un mot de passe. Autrement dit, des données critiques qui tomber dans de mauvaises mains si ledit serveur est malveillant.
La faille découverte par Cylance n’est autre qu’une variante « moderne » de celle mise au jour il y a 18 ans… et jamais officiellement corrigée par Microsoft. Elle suppose que le pirate puisse intercepter les communications entre un client et serveur, que ce soit en usurpant une adresse IP sur un réseau local, en passant par un point d’accès malveillant, par injection de code dans des pages Web ou en détournant des systèmes de prévisualisation d’URL.
Redirection fatale
Une fois ces requêtes interceptées, elles sont acheminées vers un serveur HTTP qui répond avec une simple commande de redirection (302) vers une URL de type file:// ; laquelle pointe vers une machine contrôlée par les pirates.
Ces derniers n’ont plus qu’à enregistrer toutes les tentatives de connexion pour récupérer l’identifiant et le mot de passe… sous forme chiffrée, mais sur un standard défini dans les années 1990. Si bien que quelques heures suffisent à déchiffrer le sésame en exploitant la puissance de calcul de quelques GPU.
Plusieurs API Windows communément utilisées dans le cadre de mises à jour, de vérification de licences ou de fonctions de reporting permettent la redirection de trafic HTTP vers un serveur SMB. Elles sont identifiées comme vulnérables.
Sur la liste (non exhaustive) figurent URLDownloadA, URLDownloadW, URLDownloadToCacheFileA, URLDownloadToCacheFileW, URLDownloadToFileA, URLDownloadToFileW, URLOpenStream, URLOpenBlockingStream
Cette attaque n’a été recréée qu’en laboratoire. Elle n’a pas encore été observée « en conditions réelles ». Microsoft considère d’ailleurs que la faille est d’une gravité moindre : de nombreux facteurs doivent être réunis pour pouvoir l’exploiter et les mécanismes de défense de Windows ont été renforcés avec les années – notamment à travers Extended Protection for Authentication.
Il existe une solution radicale : désactiver, au niveau du poste client ou de la passerelle réseau, les ports TCP 139 et 445. Mais gare aux perturbations sur toutes les applications qui s’appuient sur des requêtes SMB…
Ci-dessous, l’un des scénarios d’attaque potentiels en vidéo :
Crédit photo : wavebreakmedia – Shutterstock.com