CERTFR-2020-ALE-008
Vulnerability from certfr_alerte

[Mise à jour du 02 juin 2020]

Des codes d'exploitation ont été publiés publiquement pour la vulnérabilité CVE-2020-0796. Celle-ci affecte l'implémentation du protocole SMB par Microsoft et permet une exécution de code arbitraire à distance. Il est donc urgent d'appliquer les mises à jour si ce n'a pas encore été fait.

[Publication initiale]

Les solutions Microsoft reposent sur un grand nombre de services réseau dont un service de partage de ressources (fichiers, imprimantes, ...) dénommé SMB. Ce service est présent à la fois sur les postes de travail et sur les serveurs Windows.

Microsoft a ajouté une extension au protocole SMB V3.1.1 permettant la compression des flux. Cette extension, activée par défaut, est implémentée depuis certaines versions de Windows (cf. ci-dessus). Les serveurs Windows Server 2019, Windows Server 2016 ainsi que les versions antérieures ne sont pas affectés.

Le 10 mars 2020, l'éditeur a publié un avis concernant une vulnérabilité affectant la gestion de la compression dans son implémentation du protocole SMB. Cette vulnérabilité est de type débordement de tampon et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification (preauth).

La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.

Des informations sur cette vulnérabilité ont été divulguées par des chercheurs alors que Microsoft n'a pas publié de correctif.

Le CERT-FR estime que des codes d'exploitation sont susceptibles d'être publiés rapidement.

Solution

[Mise à jour du 12 mars 2020]

Microsoft a publié un correctif pour la vulnérabilité CVE-2020-0796. Le CERT-FR recommande d'appliquer la mise à jour dans les plus brefs délais. L'application du correctif ne dispense pas de respecter les bonnes pratiques rappelées ci-après.

[Publication initiale]

Dans l'attente d'un correctif de l'éditeur, le CERT-FR demande que le contournement publié par l'éditeur [1] soit immédiatement appliqué.

Il est important de souligner que ce contournement protège le service 'serveur' SMB et ne nécessite pas de redémarrage. En revanche, les clients SMB restent vulnérables.

Le CERT-FR rappelle que les règles de bonnes pratiques de sécurisation des environnements Microsoft doivent être scrupuleusement respectées :

  • Interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entrée et en sortie du Système d'Information [2] ;
  • Pour le cloisonnement interne : n'autoriser les flux SMB que lorsque cela est nécessaire (contrôleurs de domaine, serveurs de fichiers, etc.) et bloquer ce flux entre postes de travail ;
  • Pour les postes nomades : interdire tous les flux SMB entrant et sortant et n'autoriser ces flux vers des serveurs SMB qu'au travers d'un VPN sécurisé [3][4]

Ces mesures sont de portée générale et doivent être appliquées systématiquement au sein d'un Système d'Information.

None
Impacted products
Vendor Product Description
Microsoft Windows Windows 10 version 1909
Microsoft Windows Windows 10 version 1903
Microsoft Windows Windows Server (Server Core Installation) version 1909
Microsoft Windows Windows Server (Server Core Installation) version 1903
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows 10 version 1909",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 10 version 1903",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server (Server Core Installation) version 1909",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server (Server Core Installation) version 1903",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2020-07-31",
  "content": "## Solution\n\n**\\[Mise \u00e0 jour du 12 mars 2020\\]**\n\nMicrosoft a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9\u00a0CVE-2020-0796. Le\nCERT-FR recommande d\u0027appliquer la mise \u00e0 jour dans les plus brefs\nd\u00e9lais. L\u0027application du correctif ne dispense pas de respecter les\nbonnes pratiques rappel\u00e9es ci-apr\u00e8s.\n\n**\\[Publication initiale\\]**\n\nDans l\u0027attente d\u0027un correctif de l\u0027\u00e9diteur, le CERT-FR demande que le\ncontournement publi\u00e9 par l\u0027\u00e9diteur \\[1\\] soit imm\u00e9diatement appliqu\u00e9.\n\nIl est important de souligner que ce contournement prot\u00e8ge le service\n\u0027serveur\u0027 SMB et ne n\u00e9cessite pas de red\u00e9marrage. En revanche, les\n**clients SMB restent vuln\u00e9rables**.\n\nLe CERT-FR rappelle que les r\u00e8gles de bonnes pratiques de s\u00e9curisation\ndes environnements Microsoft doivent \u00eatre scrupuleusement respect\u00e9es :\n\n-   Interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entr\u00e9e\n    et en sortie du Syst\u00e8me d\u0027Information \\[2\\] ;\n-   Pour le cloisonnement interne : n\u0027autoriser les flux SMB que lorsque\n    cela est n\u00e9cessaire (contr\u00f4leurs de domaine, serveurs de fichiers,\n    etc.) et bloquer ce flux entre postes de travail ;\n-   Pour les postes nomades : interdire tous les flux SMB entrant et\n    sortant et n\u0027autoriser ces flux vers des serveurs SMB qu\u0027au travers\n    d\u0027un VPN s\u00e9curis\u00e9 \\[3\\]\\[4\\]\n\nCes mesures sont de port\u00e9e g\u00e9n\u00e9rale et doivent \u00eatre appliqu\u00e9es\nsyst\u00e9matiquement au sein d\u0027un Syst\u00e8me d\u0027Information.\n\n\u00a0\n",
  "cves": [
    {
      "name": "CVE-2020-0796",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-0796"
    }
  ],
  "initial_release_date": "2020-03-11T00:00:00",
  "last_revision_date": "2020-07-31T00:00:00",
  "links": [
    {
      "title": "[4] Recommandations sur le nomadisme num\u00e9rique",
      "url": "https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"
    },
    {
      "title": "[3] Bulletin d\u0027actualit\u00e9 CERT-FR",
      "url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-001/"
    },
    {
      "title": "Avis CERT-FR CERTFR-2020-AVI-149 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-149",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-149/"
    },
    {
      "title": "[2] Recommandations relatives au blocage de ports de pare-feu sp\u00e9cifiques pour emp\u00eacher le trafic SMB de quitter l\u0027environnement d\u0027entreprise",
      "url": "https://support.microsoft.com/fr-fr/help/3185535/preventing-smb-traffic-from-lateral-connections"
    }
  ],
  "reference": "CERTFR-2020-ALE-008",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-03-11T00:00:00.000000"
    },
    {
      "description": "Publication du correctif",
      "revision_date": "2020-03-12T00:00:00.000000"
    },
    {
      "description": "Des codes d\u0027exploitation sont disponibles publiquement.",
      "revision_date": "2020-06-02T00:00:00.000000"
    },
    {
      "description": "La cl\u00f4ture d\u0027une alerte ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2020-07-31T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Mise \u00e0 jour du 02 juin 2020\\]\u003c/strong\u003e\n\nDes codes d\u0027exploitation ont \u00e9t\u00e9 publi\u00e9s publiquement pour la\nvuln\u00e9rabilit\u00e9 CVE-2020-0796. Celle-ci affecte l\u0027impl\u00e9mentation du\nprotocole SMB par Microsoft et permet une ex\u00e9cution de code arbitraire \u00e0\ndistance. Il est donc urgent d\u0027appliquer les mises \u00e0 jour si ce n\u0027a pas\nencore \u00e9t\u00e9 fait.\n\n\u003cstrong\u003e\\[Publication initiale\\]\u003c/strong\u003e\n\nLes solutions Microsoft reposent sur un grand nombre de services r\u00e9seau\ndont un service de partage de ressources (fichiers, imprimantes, ...)\nd\u00e9nomm\u00e9 *SMB*. Ce service est pr\u00e9sent \u00e0 la fois sur les postes de\ntravail et sur les serveurs Windows.\n\nMicrosoft a ajout\u00e9 une extension au protocole SMB V3.1.1 permettant la\ncompression des flux. Cette extension, activ\u00e9e par d\u00e9faut, est\nimpl\u00e9ment\u00e9e depuis certaines versions de Windows (cf. ci-dessus). Les\nserveurs Windows Server 2019, Windows Server 2016 ainsi que les versions\nant\u00e9rieures ne sont pas affect\u00e9s.\n\nLe 10 mars 2020, l\u0027\u00e9diteur a publi\u00e9 un avis concernant une vuln\u00e9rabilit\u00e9\naffectant la gestion de la compression dans son impl\u00e9mentation du\nprotocole SMB. Cette vuln\u00e9rabilit\u00e9 est de type d\u00e9bordement de tampon et\npermet \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0\ndistance sans authentification (*preauth*).\n\nLa fonction vuln\u00e9rable est utilis\u00e9e \u00e0 la fois par le client et le\nserveur qui partage des ressources (fichier, imprimante). Par\ncons\u00e9quent, une personne malveillante pourrait exploiter cette\nvuln\u00e9rabilit\u00e9 pour compromettre un serveur de ressources SMB, puis, par\nrebond, toutes les machines qui se connecteraient \u00e0 ce serveur : la\ncompromission en cha\u00eene de machines vuln\u00e9rables est donc possible.\n\nDes informations sur cette vuln\u00e9rabilit\u00e9 ont \u00e9t\u00e9 divulgu\u00e9es par des\nchercheurs alors que Microsoft n\u0027a pas publi\u00e9 de correctif.\n\nLe CERT-FR estime que des codes d\u0027exploitation sont susceptibles d\u0027\u00eatre\npubli\u00e9s rapidement.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans l\u0027impl\u00e9mentation du protocole SMB par Microsoft",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "[1] Bulletin de s\u00e9curit\u00e9 Microsoft ADV200005 du 10 mars 2020",
      "url": "https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200005"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.