Windows 10 & 8.1 : Zero Day sur le partage SMB, provoquant DoS & BSOD.

Une nouvelle faille Zero Day affecte les derniers systèmes d’exploitation Microsoft (Windows 8.1 et Windows 10) et semblerait affecter également les dernières version Windows Server (2012 et 2016).
Cette faille a été rendue publique il y a 5 jours, lorsqu’un certain “@PythonResponder” a publié le Proof of Concept (PoC) de son 0day .

La faille permet à un attaquant distant et non authentifié de provoquer une attaque par DoS (Denial of Service) & / ou d’executer un code arbitraire sur un système vulnérable.

Grosso modo, comment fonctionne la faille ?
– Je mets en place un serveur avec partage SMB (serveur malicieux)- Je partage le liens vers ce serveur (\\192.168.0.10\c$ par exemple) (Phishing, Social Engineering … )
– Lorsque la victime va accéder au serveur, selon l’action définie au niveau de mon serveur SMB, deux possibilités :
–> BSOD (Blue screen of Death)
–> Exécution d’un code arbitraire sur le client.

Exemple dans le Gif ci-dessous :

Le patch arrive le 14 Février, lors du prochain patch tuesday. En attendant, il est conseillé de bloquer les ports SMB en sortie (connexion sortant sur votre PC, ou connexion sortant sur votre Firewall), vers les ports :
– 139 et 445 en TCP
– 137 e t138 en UDP

Généralement, ses flux sont bloqués par défaut dans la plupart des entreprises. Les personnes les plus à risque, sont les particuliers & petites entreprises.

About Alexandre Nogard

Check Also

Gophish : Familiarisez vos employés au phishing ! Part I : Installation

Gophish est un framework open-source, vous permettant de créer des campagnes de phishing. L’objectif, ici, …

Gophish : Familiarisez vos employés au phishing ! Part II : Prise en main

Nous avons vu dans le précédent post : Gophish : Familiarisez vos employés au phishing …

Gophish : Familiarisez vos employés au phishing ! Part III : Options avancées

Maintenant que GoPhish est installé et que vous avez lancé votre première campagne, vous souhaitez …

Leave a Reply

Your email address will not be published. Required fields are marked *