Publicité en cours de chargement...
SMBGhost revient hanter les systèmes Windows 1903 et 1909
11 juin 2020 - 14:08,
Tribune
- Charles Blanc-RolinPour rappel, cette vulnérabilité annoncée officiellement le 10 mars 2020 par Microsoft [2], affecte l’implémentation du protocole SMBV3 dans les systèmes Windows (clients et serveurs) en versions 1903 et 1909. Bousculé par des révélations relatives à cette vulnérabilité, Microsoft a tout d’abord recommandé de désactiver le mécanisme de compression introduit en version 3.1.1 afin d’éviter des exploitations sauvages.
Un correctif pour cette vulnérabilité a été publié le 12 mars 2020 par Microsoft dans son célèbre « Patch Tuesday ».
Les machines non patchées, dont le mécanisme de compression est activé par défaut, sont donc vulnérables à une exécution de code arbitraire à distance.
Le CERT-FR de l’ANSSI qui avait ouvert une alerte [3] sur ce sujet le 11 mars, l’a actualisée le 2 juin dernier, et pour cause, puisqu’un POC permettant une exécution de code arbitraire à distance par le biais d’un reverse shell a été rendu publique sur Github [4]. Une vidéo de démonstration a également été publiée sur la chaîne Vimeo de Bleeping Computers [5].
Le POC qui ne semble pas pouvoir être utilisé « clé en main » sur n’importe quelle version pour le moment puisque de nombreux utilisateurs sont confrontés à différentes erreurs lors de son exécution, risque néanmoins d’ouvrir de nouvelles portes très rapidement !
Les POCs pour la CVE-2020-0796 ne manquent pas, comme celui publié par Daniel García Gutiérrez et Manuel Blanco Parajón permettant de réaliser une élévation de privilège locale au niveau système [6] :
Ou encore les différents POCs permettant de réaliser un déni de service en crashant le système comme celui publié par le chercheur BaCde [7] :
Beaucoup plus « efficace » que celui proposé par la société Zecops [8] qui ne fonctionne que sur les versions 1903.
Côté détection, plusieurs scanner intéressants ont été publiés. Celui proposé par le chercheur Danois ollypwn [9] tout d’abord, simple et efficace :
x1n5h3n propose une version plus poussée [10], s’appuyant sur le scanner d’ollypwn ainsi que sur masscan [11] permettant de réaliser des scans en masse et d’exporter les résultats au format json.
Le script pour nmap proposé par pr4jwal [12] est également intéressant pour compléter sa boîte à outils :
Si vous ne saviez pas quoi faire, voici de quoi s’occuper…
1 : recenser les machines Windows en version 1903 et 1909
2 : vérifier qu’elles ne sont pas vulnérables
3 : patcher ! Si ce n’est pas fait
4 : désactiver la compression si les machines ne peuvent pas être patchées
5 : restreindre les accès SMB tant que possible
6 : ne pas oublier que des machines vulnérables pourraient apparaître dans le SIH dans un futur plus ou moins proches, avec pourquoi pas des dispositifs médicaux….
[1] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0796
[2] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200005
[3] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-008/
[4] https://github.com/chompie1337/SMBGhost_RCE_PoC
[5] https://vimeo.com/426301998
[6] https://github.com/danigargu/CVE-2020-0796
[7] https://github.com/insightglacier/SMBGhost_Crash_Poc
[8] https://blog.zecops.com/vulnerabilities/vulnerability-reproduction-cve-2020-0796-poc/
[9] https://github.com/ollypwn/SMBGhost
[10] https://github.com/x1n5h3n/SMBGhost