Numéro : AL20-007
Date : 13 mars 2020
PUBLIC
La présente alerte est destinée aux professionnels des TI et aux gestionnaires des organismes avisés. Les destinataires de la présente information peuvent redistribuer celle-ci au sein de leur organisme respectif.
OBJET
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
VUE D’ENSEMBLE
Le 10 mars 2020, Microsoft a publié un bulletin de sécurité en réaction à une vulnérabilité critique d’exploitation à distance touchant la manière dont le bloc de message de serveur de Microsoft (SMB V3) traite certaines requêtes. Un auteur de menace distant et non authentifié qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur les serveurs et les clients SMB vulnérables.
Microsoft a attribué le numéro CVE-2020-0796 à cette vulnérabilité et a publié un correctif de sécurité hors bande pour tous les produits touchés.
DÉTAILS
Le Centre pour la cybersécurité est au courant d’une vulnérabilité d’exploitation à distance qui touche la manière dont le bloc de message de serveur 3.1.1 de Microsoft (SMB V3) traite certaines requêtes. Un auteur de menace distant et non authentifié qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur les serveurs SMB et les clients SMB en question.
Les dispositifs et les logiciels suivants sont affectés :
• Windows 10 Version 1903 pour les microprocesseurs de 32-bit;
• Windows 10 Version 1903 pour les microprocesseurs ARM64;
• Windows 10 Version 1903 pour les microprocesseurs x64;
• Windows 10 Version 1909 pour les microprocesseurs de 32-bit;
• Windows 10 Version 1909 pour les microprocesseurs ARM64;
• Windows 10 Version 1909 pour les microprocesseurs x64;
• Windows Server (installation minimale) version 1903;
• Windows Server (installation minimale) version 1909.
Pour exploiter cette vulnérabilité du serveur SMB, un auteur de menace non authentifié enverra un paquet spécialement conçu pour cibler le système. Pour exploiter la vulnérabilité du client SMB, l’auteur de menace devra configurer un serveur SMB V3 malicieux et convaincre l’utilisateur de s’y connecter.
Les correctifs hors bande de cette vulnérabilité viennent d’être publiés par Microsoft, le Centre pour la cybersécurité recommande aux responsables de systèmes de consulter la section « Atténuation » de la présente alerte pour ensuite être en mesure de protéger leurs réseaux respectifs.
ATTÉNUATION
Le Centre pour la cybersécurité recommande aux responsables de systèmes vulnérables d’appliquer immédiatement les correctifs de sécurité hors bande prescrits par Microsoft.
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0796
Il est également recommandé de bloquer le port TCP 445 du serveur SMB au niveau du pare-feu de périmètre du réseau.
Dans le cas des serveurs auxquels on ne peut pas appliquer le correctif immédiatement pour des raisons opérationnelles, on doit désactiver la compression des flux du serveur SMB V3 en tant que solution de contournement afin de protéger ce dernier d’une exploitation potentielle. Notez cependant que la désactivation de la compression des flux du serveur SMB V3 ne protège pas les clients vulnérables.
Pour éviter toute interruption de service, les solutions de contournement et les correctifs recommandés devraient être mis à l’essai sur les systèmes clients avant d’être déployés dans l’environnement de production. Des instructions détaillées de ces solutions de contournement sont disponibles sur le Site Web de Microsoft :
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/adv200005
RÉFÉRENCES
10 Avis du 10 mars 2020 sur le site Web de Microsoft : https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/adv200005
Correctif de sécurité de Microsoft :
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0796
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et resilient.