eternalblue wannacry

La majorité des attaques visant le protocole SMB tentent d'exploiter EternalBlue

Version imprimable, PDF et e-mail

Le protocole Server Message Block (SMB) facilite l'accès partagé aux fichiers et aux imprimantes. Il est largement utilisé sur les systèmes Windows depuis des années, ainsi que sur les systèmes Linux et Apple connectés aux réseaux qui l'exploitent. Bien que la version actuelle du protocole soit 3.1.1, la rétrocompatibilité reste une fonctionnalité des systèmes Windows, même pour les plus récents, qui a été activée par défaut pendant des années.

Cette rétrocompatibilité est un facteur essentiel à prendre en compte car les anciennes versions du protocole, en particulier la version 1, comportent des vulnérabilités majeures qui ont été constatées d'année en année. Lorsque les systèmes prennent en charge ces anciennes versions du protocole, ils peuvent être exposés à des attaques qui exploitent ces vulnérabilités. En outre, de nouvelles vulnérabilités ont été détectées, ce qui fait de ce protocole une cible de choix pour les pirates. Par exemple, dans une récente analyse concernant des attaques menées sur une période de trois mois, les chercheurs de Barracuda ont constaté que 91,88 % des attaques qui ciblaient le port 445 (le port SMB le plus courant) tentaient d'utiliser l'exploit EternalBlue.

Plusieurs vulnérabilités existent et sont exploitées contre le protocole SMB et ses implémentations. L’une de ces vulnérabilités, EternalBlue, a fait la une des journaux en 2017, et les tentatives (parfois réussies) d’exploitation de cette vulnérabilité se poursuivent. Bien qu'elles soient obsolètes et désactivées par défaut dans les systèmes d'exploitation les plus récents, il existe suffisamment de machines disponibles pour que les exploits contre la version 1 de SMB en valent encore la peine. De plus, il existe probablement d’autres vulnérabilités dans les versions les plus récentes de ce protocole. Les cybercriminels tentent donc sans cesse d'en trouver de nouvelles.

Une exploitation réussie peut engendrer de nombreuses conséquences. Dans le cas d'EternalBlue, l’ensemble du système, voire le réseau sur lequel il se trouve, peut être compromis. Étant donné que SMB fait souvent partie d'un intranet, les hackers exploitent diverses techniques pour contrer les défenses dans le but d'exploiter le protocole.

WannaCry et autres attaques EternalBlue

Trois vulnérabilités majeures de SMB (EternalBlue, EternalRomance et EternalChampion) ont fait les gros titres lorsqu’un groupe de pirates informatiques répondant au nom de « The Shadow Brokers » a divulgué un ensemble de vulnérabilités qu’ils prétendaient avoir volées à « Equation Group », que beaucoup soupçonnent de faire partie de l'Agence nationale de sécurité américaine (NSA). EternalBlue est devenue tristement célèbre lorsqu'elle a été utilisée avec un autre outil de la fuite, connu sous le nom de « DoublePulsar » pour propager le ransomware WannaCry. Le 12 mai marque ainsi le cinquième anniversaire de cette attaque et nous rappelle depuis combien de temps ces vulnérabilités provoquent des problèmes majeurs. EternalRomance a également été utilisée dans le cadre d'une campagne de ransomware : BadRabbit. EternalChampion a été largement exploitée par TrickBot, un voleur d’informations et cheval de Troie bancaire très répandu, pour se propager latéralement à travers un réseau après avoir infecté une machine.

Bien que des correctifs soient disponibles depuis plusieurs années, les chercheurs de Barracuda ont constaté que EternalBlue reste l’un des exploits les plus utilisés contre SMB, dans la mesure où il représente 91,88 % des attaques sur le port 445 (le port SMB le plus courant). Il est souvent utilisé avec d’autres attaques pour pénétrer les systèmes de défenses du réseau et accéder à SMB au sein d’un réseau local.

In the case of WannaCry, the attack looked for exposed SMB ports (most commonly port 445) that were exposed due to misconfiguration. Once an exposed port was found, EternalBlue was exploited on vulnerable systems to spread a worm throughout the network, ultimately deploying ransomware on infected machines. Luckily for those affected, the ransomware contained a “kill switch” in the form of a domain that would be checked to not exist prior to encryption and spreading across the network. During analysis, a security researcher noticed this domain and that it was not registered. The researcher subsequently registered it, thus stopping the spread of the attack.

Nouvelles vulnérabilités

Plus récemment, une campagne connue sous le nom de « Eternal Silence » a exploité les vulnérabilités UPnP des routeurs afin de tenter d’exploiter EternalBlue et EternalRed (l’équivalent Linux) sur les systèmes situés derrière les routeurs présentant des vulnérabilités UPnP. UPnP est une fonctionnalité qu'on retrouve dans de nombreux routeurs et qui permet de rediriger les ports. Elle est souvent utilisée avec les consoles de jeux afin d'accélérer la vitesse des jeux en ligne. Elle échange une partie de la sécurité fournie par le routeur lui-même et garantit ainsi une meilleure connectivité sur des systèmes spécifiques au sein du réseau.

De nouvelles vulnérabilités liées à SMB sont également régulièrement découvertes, la plus récente étant CVE-2021-44142. Cette dernière affecte SAMBA, son implémentation open-source fréquemment utilisée sur les systèmes Linux et Apple. Cette vulnérabilité permet à un hacker d'exécuter du code sur le système cible, ce qui constitue un risque majeur pour les systèmes affectés qui n'ont pas été corrigés.

Between older systems that are either unpatched or unable to receive further security patches and newer vulnerabilities being found, SMB is a viable target for attackers. Vulnerabilities may be exploited directly through exposed SMB ports, in conjunction with other vulnerabilities that enable an attacker to access internal SMB services, or through phishing attempts containing malware that targets SMB.

Comment se protéger contre cette menace ?

Étant donné que SMB est souvent ciblé par les diverses vulnérabilités existantes, il est essentiel de s’assurer que les logiciels et les systèmes d’exploitation sont corrigés et mis à jour afin de se prémunir contre ces attaques. Dans le cas de Windows, cela implique notamment de mettre à jour le système d'exploitation vers une version plus récente, car de nombreuses versions plus anciennes ne sont plus mises à jour et les vulnérabilités ne peuvent donc pas être corrigées. Cet élément a joué un rôle clé dans le cadre de la campagne WannaCry, qui s'appuyait sur l'exploitation de versions plus anciennes et, par conséquent, plus vulnérables de Windows.

Lorsque cela est possible, désactiver la prise en charge de la version 1 de SMB peut également vous permettre de vous protéger contre les vulnérabilités et la propagation de l’attaque lorsque des machines obsolètes sont visées. S'il n'est pas nécessaire ou inutilisé, SMB peut même être complètement désactivé sur les systèmes afin de réduire la surface d’attaque.

Des pare-feux correctement configurés peuvent également contribuer à se protéger contre ses vulnérabilités en bloquant l'accès à ces ports et en détectant et/ou en empêchant les tentatives d'exploitation. En règle générale, les ressources SMB ne devraient pas être disponibles en dehors du réseau local, et les pare-feux devraient le plus souvent permettre de configurer un accès VPN aux ressources plutôt que de les exposer publiquement. De plus, les systèmes et le réseau ne devraient pas rendre public l'accès aux ports SMB.

Des solutions SaaS existent également pour partager des fichiers et des ressources. Ces dernières sont généralement plus sécurisées que le protocole SMB et prennent automatiquement en charge une grande partie des correctifs de sécurité. Les mises à jour ne dépendent donc pas des utilisateurs ou du service informatique. Le plus souvent, elles permettent d'intégrer plus facilement des protocoles de sécurité plus robustes, telles que l’accès réseau zero trust et l'authentification multifacteur.

Activez l'accès Zero Trust depuis n'importe quel appareil, n'importe où.

Remonter en haut de page
Tweeter
Partager
Partager