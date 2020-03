PDG de Microsoft Satya Nadella. (Photo de fichier .)

Alors que Seattle et la Silicon Valley sont aux prises avec l’impact du nouveau coronavirus, Microsoft a corrigé un grand nombre de vulnérabilités mardi, dans le cadre de ses mises à jour logicielles mensuelles régulières. Selon des chercheurs en sécurité de Cisco Talos, la mise à jour de ce mois-ci a corrigé 117 vulnérabilités. Vingt-cinq d’entre eux ont été classés «critiques», quatre-vingt-onze «importants» et un «modéré».

Mais ce qui a retenu l’attention des chercheurs en sécurité et des adeptes du «Patch Tuesday», c’est le patch qui n’était pas là.

Cisco Talos et Fortinet ont initialement publié des informations sur une autre vulnérabilité, identifiée comme «CVE-2020-0796», qui n’a pas été corrigée. Alors que Cisco a mis à jour son avis pour supprimer les informations sur la vulnérabilité, ses abonnés sur Twitter ont rapidement détecté la différence et la rédaction et ont enregistré les informations. La communauté a également commencé à spéculer sur la nature de la vulnérabilité et son risque. Certains chercheurs ont rapidement surnommé la vulnérabilité «SMBGhost»: la vulnérabilité Server Message Block qui existe mais n’est pas visible.

CVE-2020-0796 – une vulnérabilité “wormable” SMBv3.

Génial…

???? pic.twitter.com/E3uPZkOyQN

– MalwareHunterTeam (@malwrhunterteam) 10 mars 2020

Les chercheurs du monde entier ont rapidement souligné qu’il s’agissait d’une vulnérabilité d’exécution de code à distance non authentifiée, basée sur le réseau, dans la gestion de Microsoft Server Message Block (SMB), qui pouvait accorder des privilèges au niveau du système. En d’autres termes, cela a beaucoup en commun avec la vulnérabilité connue sous le nom de CVE-2017-0144, que l’exploit EternalBlue a attaquée et qui a ensuite été la clé des attaques WannaCry et NotPetya en 2017. Dans un peu de déjà-vu, cette vulnérabilité était également patché en mars de la même année.

Plus tard mardi, Microsoft a publié un avis de sécurité (ADV200005) avec des détails sur une nouvelle vulnérabilité non corrigée et des informations sur une solution de contournement: mesures que les gens peuvent prendre pour se protéger contre les tentatives d’exploitation de la vulnérabilité sans correctif. Bien que l’avis ne parle pas spécifiquement de CVE-2020-0796, les détails correspondent à ceux publiés sur cette vulnérabilité et la communauté des chercheurs correspond rapidement aux deux.

Au moment d’écrire ces lignes, il n’y a pas de correctif disponible et aucune chronologie officielle de Microsoft pour savoir quand le correctif pourrait être publié.

Évaluer le risque

Les mots «EternalBlue», «WannaCry» et «NotPetya» suffisent à faire sonner l’alarme pour les équipes de sécurité. Les attaques WannaCry et NotPetya ont été extrêmement perturbatrices et coûteuses en 2017. Maersk, par exemple, a subi un arrêt global pendant des semaines et des pertes importantes en raison de NotPetya, comme détaillé par WIRED. La perspective d’une autre vulnérabilité comme EternalBlue fait craindre une répétition de l’une ou de ces deux attaques.

De plus, le timing de cette nouvelle vulnérabilité critique est particulièrement difficile car de nombreuses équipes de sécurité et d’exploitation travaillent à domicile en raison de la réponse au nouveau coronavirus aux États-Unis. Cela rend la mise en œuvre de solutions de contournement et de correctifs encore plus difficile.

Enfin, comme pour prouver l’adage selon lequel «les problèmes voyagent par trois», le jour même de la rupture, le monde de la sécurité était aux prises avec des informations selon lesquelles deux participants à la conférence annuelle de la RSA sur la sécurité à San Francisco, tenue il y a deux semaines, avaient testé positifs pour le coronavirus, dont un aurait été hospitalisé.

Dans ce contexte, ce dernier développement peut sembler alarmant.

Cependant, il y a quelques points clés de différence qui méritent d’être gardés à l’esprit, ce qui ne rend pas cela aussi grave que la situation EternalBlue il y a trois ans.

Divulgation et exploitation du code: Contrairement à la situation EternalBlue, il semblerait que cette vulnérabilité ait été trouvée par Microsoft et qu’aucun code d’exploitation fonctionnel ne puisse l’attaquer actuellement. Ceci est fondamentalement différent de la situation EternalBlue où il y avait des outils d’exploitation qui pourraient attaquer la vulnérabilité qui circulait déjà au moment de la publication du correctif.

Portée des systèmes vulnérables: L’avis de sécurité Microsoft pour cette vulnérabilité répertorie uniquement les versions 1903 et 1909 de Windows 10 et Windows Server comme étant affectées. Bien que cela ne soit pas bon pour l’histoire de la sécurité «Newer is Better» de Microsoft, il s’agit d’un pool beaucoup plus petit de systèmes vulnérables et potentiellement attaquables que nous ne l’avons vu avec la situation EternalBlue.

Solution de contournement disponible: Encore une fois, contrairement à la situation EternalBlue en 2017, il existe une solution de contournement viable qui peut être mise en œuvre immédiatement pour aider à protéger les systèmes jusqu’à ce qu’ils soient corrigés. Mieux encore, Microsoft note dans son avis: «Aucun redémarrage n’est nécessaire après avoir effectué la modification» et «Aucun redémarrage n’est nécessaire après la désactivation de la solution de contournement». Cela signifie que la solution de contournement peut être effectuée sans encourir de temps d’arrêt en redémarrant les systèmes. Autre bonne chose: cette vulnérabilité se produit dans la gestion de la compression SMB V3, une fonctionnalité assez nouvelle. Cela signifie que l’impact de la solution de contournement devrait également être relativement indolore.

Dans l’ensemble, bien que le moment de cette situation soit difficile et que le premier coup de sifflet retentisse, les faits techniques en font une situation critique mais pas désastreuse. Le fait que cela affecte les dernières versions de Windows Server peut avoir un impact particulier sur les fournisseurs de cloud. Mais la présence d’une solution de contournement facile à implémenter et à restaurer qui a un impact minimal signifie que les organisations peuvent et doivent implémenter cette solution de contournement immédiatement et la maintenir en place jusqu’à ce qu’il y ait un correctif. Microsoft a déjà fourni des scripts PowerShell à une ligne pour implémenter et annuler la solution de contournement, ce qui signifie qu’il peut être déployé de manière relativement rapide, même par des équipes travaillant à distance depuis leur domicile.

Nous ne savons pas pourquoi il n’y a pas eu de patch et quand un arrive. Mais la bonne nouvelle est qu’il existe des mesures simples, claires et concrètes que les organisations peuvent prendre aujourd’hui pour se protéger et protéger les autres. Et bien que le moment de cela par rapport au coronavirus ne soit pas génial, les conseils que nous avons tous avec cela se rapportent ici: ne paniquez pas et suivez des étapes simples et sensées, et vous contribuerez à vous protéger et à protéger la communauté en général.