Microsoft divulgue la présence d'un exploit wormable non corrigé dans les serveurs Windows 10 SMB
2 minute. lis
Publié le
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus.
Microsoft a accidentellement révélé la présence d'un exploit wormable dans le protocole SMBV3 lors de son infodump Patch Tuesday, mais sans publier de correctif pour la même faille, laissant toutes les installations récentes vulnérables.
Les PC concernés par la vulnérabilité CVE-2020-0796 incluent Windows 10 v1903, Windows10 v1909, Windows Server v1903 et Windows Server v1909.
On soupçonne que Microsoft prévoyait de publier un correctif ce mardi, mais l'a retiré à la dernière minute, mais a toujours inclus les détails de la faille dans son API Microsoft, que certains fournisseurs d'antivirus récupèrent puis publient. Cette API est actuellement en panne et des fournisseurs tels que Cisco Talos qui ont publié des détails ont maintenant supprimé leurs rapports.
SMB est le même protocole que celui exploité par les rançongiciels WannaCry et NotPetya mais heureusement à cette occasion, aucun code d'exploitation n'a été publié.
Les détails complets de la faille n'ont pas été publiés, mais il s'agit d'un dépassement de mémoire tampon dans le serveur Microsoft SMB qui se produit "... en raison d'une erreur lorsque le logiciel vulnérable gère un paquet de données compressé conçu de manière malveillante". La société de sécurité Fortinet note qu'"un attaquant distant non authentifié peut exploiter cela pour exécuter du code arbitraire dans le contexte de l'application".
Aucun correctif n'a été publié, mais des mesures d'atténuation sont disponibles.
Dans leurs conseils non publiés, Cisco Talos a suggéré :
«Les utilisateurs sont encouragés à désactiver la compression SMBv3 et à bloquer le port TCP 445 sur les pare-feu et les ordinateurs clients.»
Mises à jour: L'avis complet peut maintenant être lu chez Microsoft ici. Microsoft note que la solution de contournement ci-dessus protégera le serveur mais pas les clients concernés.
En savoir plus sur le problème sur ZDNet ici.
Forum des utilisateurs
Messages 0