eternalblue wannacry

La majorité des attaques visant le protocole SMB tentent d'exploiter EternalBlue

Version imprimable, PDF et e-mail

Le protocole Server Message Block (SMB) facilite l'accès partagé aux fichiers et aux imprimantes. Il est largement utilisé sur les systèmes Windows depuis des années, ainsi que sur les systèmes Linux et Apple connectés aux réseaux qui l'exploitent. Bien que la version actuelle du protocole soit 3.1.1, la rétrocompatibilité reste une fonctionnalité des systèmes Windows, même pour les plus récents, qui a été activée par défaut pendant des années.

Cette rétrocompatibilité est un facteur essentiel à prendre en compte car les anciennes versions du protocole, en particulier la version 1, comportent des vulnérabilités majeures qui ont été constatées d'année en année. Lorsque les systèmes prennent en charge ces anciennes versions du protocole, ils peuvent être exposés à des attaques qui exploitent ces vulnérabilités. En outre, de nouvelles vulnérabilités ont été détectées, ce qui fait de ce protocole une cible de choix pour les pirates. Par exemple, dans une récente analyse concernant des attaques menées sur une période de trois mois, les chercheurs de Barracuda ont constaté que 91,88 % des attaques qui ciblaient le port 445 (le port SMB le plus courant) tentaient d'utiliser l'exploit EternalBlue.

Plusieurs vulnérabilités existent et sont exploitées contre le protocole SMB et ses implémentations. L’une de ces vulnérabilités, EternalBlue, a fait la une des journaux en 2017, et les tentatives (parfois réussies) d’exploitation de cette vulnérabilité se poursuivent. Bien qu'elles soient obsolètes et désactivées par défaut dans les systèmes d'exploitation les plus récents, il existe suffisamment de machines disponibles pour que les exploits contre la version 1 de SMB en valent encore la peine. De plus, il existe probablement d’autres vulnérabilités dans les versions les plus récentes de ce protocole. Les cybercriminels tentent donc sans cesse d'en trouver de nouvelles.

Une exploitation réussie peut engendrer de nombreuses conséquences. Dans le cas d'EternalBlue, l’ensemble du système, voire le réseau sur lequel il se trouve, peut être compromis. Étant donné que SMB fait souvent partie d'un intranet, les hackers exploitent diverses techniques pour contrer les défenses dans le but d'exploiter le protocole.

WannaCry et autres attaques EternalBlue

Trois vulnérabilités majeures de SMB (EternalBlue, EternalRomance et EternalChampion) ont fait les gros titres lorsqu’un groupe de pirates informatiques répondant au nom de « The Shadow Brokers » a divulgué un ensemble de vulnérabilités qu’ils prétendaient avoir volées à « Equation Group », que beaucoup soupçonnent de faire partie de l'Agence nationale de sécurité américaine (NSA). EternalBlue est devenue tristement célèbre lorsqu'elle a été utilisée avec un autre outil de la fuite, connu sous le nom de « DoublePulsar » pour propager le ransomware WannaCry. Le 12 mai marque ainsi le cinquième anniversaire de cette attaque et nous rappelle depuis combien de temps ces vulnérabilités provoquent des problèmes majeurs. EternalRomance a également été utilisée dans le cadre d'une campagne de ransomware : BadRabbit. EternalChampion a été largement exploitée par TrickBot, un voleur d’informations et cheval de Troie bancaire très répandu, pour se propager latéralement à travers un réseau après avoir infecté une machine.

Bien que des correctifs soient disponibles depuis plusieurs années, les chercheurs de Barracuda ont constaté que EternalBlue reste l’un des exploits les plus utilisés contre SMB, dans la mesure où il représente 91,88 % des attaques sur le port 445 (le port SMB le plus courant). Il est souvent utilisé avec d’autres attaques pour pénétrer les systèmes de défenses du réseau et accéder à SMB au sein d’un réseau local.

Dans le cas de WannaCry, l’attaque consistait à rechercher les ports SMB exposés en raison d'une mauvaise configuration (la plupart du temps, il s'agissait du port 445). Une fois qu'un port exposé est identifié, les pirates exploitent EternalBlue sur les systèmes vulnérables en vue de propager un ver sur le réseau, puis ils finissent par déployer un ransomware sur des machines infectées. Heureusement pour les personnes ciblées, le ransomware contenait un « interrupteur » sous la forme d'un domaine qui n'existait pas avant le chiffrement et la propagation sur le réseau. Au cours de l’analyse, un chercheur en sécurité a identifié ce domaine et le fait qu’il n’était pas enregistré. Par la suite, il l'a enregistré et a ainsi permis de stopper la propagation.

Nouvelles vulnérabilités

Plus récemment, une campagne connue sous le nom de « Eternal Silence » a exploité les vulnérabilités UPnP des routeurs afin de tenter d’exploiter EternalBlue et EternalRed (l’équivalent Linux) sur les systèmes situés derrière les routeurs présentant des vulnérabilités UPnP. UPnP est une fonctionnalité qu'on retrouve dans de nombreux routeurs et qui permet de rediriger les ports. Elle est souvent utilisée avec les consoles de jeux afin d'accélérer la vitesse des jeux en ligne. Elle échange une partie de la sécurité fournie par le routeur lui-même et garantit ainsi une meilleure connectivité sur des systèmes spécifiques au sein du réseau.

De nouvelles vulnérabilités liées à SMB sont également régulièrement découvertes, la plus récente étant CVE-2021-44142. Cette dernière affecte SAMBA, son implémentation open-source fréquemment utilisée sur les systèmes Linux et Apple. Cette vulnérabilité permet à un hacker d'exécuter du code sur le système cible, ce qui constitue un risque majeur pour les systèmes affectés qui n'ont pas été corrigés.

Entre les systèmes plus anciens qui ne sont pas corrigés, ceux qui ne peuvent recevoir de nouveaux correctifs de sécurité et la découverte de nouvelles vulnérabilités, SMB reste une cible de choix pour les cybercriminels. Les vulnérabilités peuvent être exploitées directement via les ports SMB exposés, en conjonction avec d’autres vulnérabilités qui permettent aux pirates d’accéder aux services SMB internes, ou via des tentatives de phishing contenant des logiciels malveillants qui ciblent le protocole.

Comment se protéger contre cette menace ?

Étant donné que SMB est souvent ciblé par les diverses vulnérabilités existantes, il est essentiel de s’assurer que les logiciels et les systèmes d’exploitation sont corrigés et mis à jour afin de se prémunir contre ces attaques. Dans le cas de Windows, cela implique notamment de mettre à jour le système d'exploitation vers une version plus récente, car de nombreuses versions plus anciennes ne sont plus mises à jour et les vulnérabilités ne peuvent donc pas être corrigées. Cet élément a joué un rôle clé dans le cadre de la campagne WannaCry, qui s'appuyait sur l'exploitation de versions plus anciennes et, par conséquent, plus vulnérables de Windows.

Lorsque cela est possible, désactiver la prise en charge de la version 1 de SMB peut également vous permettre de vous protéger contre les vulnérabilités et la propagation de l’attaque lorsque des machines obsolètes sont visées. S'il n'est pas nécessaire ou inutilisé, SMB peut même être complètement désactivé sur les systèmes afin de réduire la surface d’attaque.

Des pare-feux correctement configurés peuvent également contribuer à se protéger contre ses vulnérabilités en bloquant l'accès à ces ports et en détectant et/ou en empêchant les tentatives d'exploitation. En règle générale, les ressources SMB ne devraient pas être disponibles en dehors du réseau local, et les pare-feux devraient le plus souvent permettre de configurer un accès VPN aux ressources plutôt que de les exposer publiquement. De plus, les systèmes et le réseau ne devraient pas rendre public l'accès aux ports SMB.

Des solutions SaaS existent également pour partager des fichiers et des ressources. Ces dernières sont généralement plus sécurisées que le protocole SMB et prennent automatiquement en charge une grande partie des correctifs de sécurité. Les mises à jour ne dépendent donc pas des utilisateurs ou du service informatique. Le plus souvent, elles permettent d'intégrer plus facilement des protocoles de sécurité plus robustes, telles que l’accès réseau zero trust et l'authentification multifacteur.

Activez l'accès Zero Trust depuis n'importe quel appareil, n'importe où.

Remonter en haut de page
Tweeter
Partager
Partager