Lumières sur la sécurité

vendredi 30 juin 2017

S’il n’y avait pas d’enjeu de sécurité, cela serait
intéressant de faire un test. On se connecte à Internet
sous Windows sans patch et on attend de voir qui
sera téléchargé le premier : une mise à jour ou un virus ?

https://geektimes.ru/post/289153

La cause principale de la " réussite " du Trojan WannaCry est l’existence d’une vulnérabilité dans le protocole SMB v1 (Server Message Block (SMB) en version 1), qui est utilisé pour le partage de fichiers et permet aux applications de lire et écrire des fichiers, ainsi que d'interroger les services des logiciels de serveur sur le réseau. Autrement dit, cela permet d'échanger des données avec tout programme de serveur qui est configuré de sorte qu'il puisse recevoir des requêtes clients SMB. À l’aide du protocole SMB, l’application ou l'utilisateur peuvent obtenir l'accès aux fichiers et aux autres ressources du serveur distant. Autrement dit, si vous ouvrez un accès à un dossier ou que vous utilisez les dossiers partagés sur d’autres ordinateurs, tout cela est assuré par le protocole SMB.

Ce protocole existe en trois versions. Sous Windows et Server 2016, la prise en charge de SMB 1.0 est activée par défaut, car un réseau local peut avoir des OS obsolètes non supportés, tels que Windows XP ou Server 2003. Si ces machines ne sont pas présentes dans le réseau, il est souhaitable de désactiver le protocole SMB 1x dans les versions Windows prises en charge ou de supprimer le driver. Ceci ferme aux attaquants l'accès à un bon nombre de vulnérabilités existant dans ce protocole obsolète. Dans ce cas, les ressources partagées resteront disponibles : tous les clients lorsque ils accèdent à des dossiers partagés ont de nouvelles versions du protocole SMB.

Il existe beaucoup de moyens de désactiver le protocole obsolète (https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server, http://winitpro.ru/index.php/2017/05/10/otklyuchenie-smb-1-0-v-windows-10-server-2016/). Envisageons la variante la plus simple :

1. Ouvrez le menu Exécuter en utilisant la combinaison de touches Win + R ou le bouton Démarrer.
2. Entrez la commande « cmd », cliquez sur OK.
3. Dans la ligne de commandes qui s’ouvre, entrez la commande dism/online/norestart/disable-feature/featurename:SMB1Protocol

Attention ! La commande Dism est présente dans Windows 7 service pack 1 et supérieurs. Pour les systèmes antérieurs, afin de fermer l’accès au protocole, vous devez modifier le registre.

La désactivation d’un protocole obsolète ne devrait pas nuire à ceux qui n'utilisent pas à la maison des vieux systèmes d'entreprise.

Mais : si quelqu'un a installé des mises à jour et après avoir supprimé le protocole obsolète a décidé qu'il est en sécurité, ce n'est pas le cas.

Autrement dit : si vous avez une ressource partagée accessible en écriture, un attaquant est en mesure d'exécuter un code sur l'ordinateur où se trouve le dossier partagé. Et si WannaCry utilisait une vulnérabilité qui était présente uniquement sous Windows, et que les utilisateurs sous Linux et macOS n'étaient pas touchés, la nouvelle vulnérabilité (suscitée) menace également Linux, au minimum.

Ainsi, l’histoire des vulnérabilités continue.