Une nouvelle faille Zero Day affecte les derniers systèmes d’exploitation Microsoft (Windows 8.1 et Windows 10) et semblerait affecter également les dernières version Windows Server (2012 et 2016).
Cette faille a été rendue publique il y a 5 jours, lorsqu’un certain “@PythonResponder” a publié le Proof of Concept (PoC) de son 0day .
La faille permet à un attaquant distant et non authentifié de provoquer une attaque par DoS (Denial of Service) & / ou d’executer un code arbitraire sur un système vulnérable.
Grosso modo, comment fonctionne la faille ?
– Je mets en place un serveur avec partage SMB (serveur malicieux)- Je partage le liens vers ce serveur (\\192.168.0.10\c$ par exemple) (Phishing, Social Engineering … )
– Lorsque la victime va accéder au serveur, selon l’action définie au niveau de mon serveur SMB, deux possibilités :
–> BSOD (Blue screen of Death)
–> Exécution d’un code arbitraire sur le client.
Exemple dans le Gif ci-dessous :
Le patch arrive le 14 Février, lors du prochain patch tuesday. En attendant, il est conseillé de bloquer les ports SMB en sortie (connexion sortant sur votre PC, ou connexion sortant sur votre Firewall), vers les ports :
– 139 et 445 en TCP
– 137 e t138 en UDP
Généralement, ses flux sont bloqués par défaut dans la plupart des entreprises. Les personnes les plus à risque, sont les particuliers & petites entreprises.
