La réaction de Microsoft a été rapide en publiant en urgence un correctif pour la vulnérabilité trouvée dans le protocole SMBv3 (Server Message Block). Il permet le partage de ressources sur des réseaux locaux avec des PC sous Windows. La faille a été publiée par inadvertance par Microsoft et a engendré des inquiétudes quant à sa possible exploitation.

Le CVE-2020-0796 porte sur la manière dont SMBv3 traite certaines requêtes. Un attaquant non authentifié peut exploiter la faille en envoyant au serveur SMBv3 vulnérable un paquet conçu à cet effet. L’objectif pour le cybercriminel est d’obtenir le contrôle complet du système compromis et d’exécuter du code malveillant. A noter que cette faille touche principalement les utilisateurs de Windows 10 et Server Core en version 1903 et 1909. 

Un correctif a minima

Le correctif KB4551762 qui a été publié en urgence devrait répondre aux inquétudes. En début de semaine, l’éditeur conseillait la désactivation de la compression pour SMBv3 ainsi que le blocage du port TCP 445 au niveau du pare-feu périmétrique. La firme de Redmond précise que ce correctif empêche l’exploitation le côté serveur, mais ne garantit pas une protection sur les clients SMB vulnérables. En sachant que pour exploiter un client SMB, l’attaquant devrait configurer un serveur SMB malveillant et convaincre les utilisateurs de s’y connecter.

Une faille dans le protocole SMB réveille de mauvais souvenirs, car elle était à l’origine de l’exploit EternalBlue (issu de la NSA) utilisé dans la campagne Wannacry et NotPetya. On ne s’étonnera donc pas que les chercheurs ont surnommé la vulnérabilité touchant SMBv3, EternalDarkness.