À l'occasion du deuxième mardi du mois de septembre, Microsoft a publié son habituel Patch Tuesday ! Ce mois-ci, il corrige 60 failles de sécurité et deux vulnérabilités zero-day.
Microsoft a corrigé 60 failles de sécurité, dont 3 considérées comme critiques, 1 comme modérée et 56 comme importantes. Si l'on tient compte des 26 failles de sécurité corrigées dans Microsoft Edge, le total est de 86 vulnérabilités. Parmi elles, 27 vulnérabilités sont de type "élévation de privilèges".
Parmi les autres produits concernés par ce Patch Tuesday, nous retrouvons notamment : Microsoft Office (Excel, Access, SharePoint, Visio), Windows, Azure Sphere, Azure Open Management Infrastructure, Visual Studio, Windows Bitlocker, Windows Event Tracing, Windows Installer, Windows SMB, Windows Subsystem for Linux ou encore le noyau Windows.
Deux failles zero-day corrigées dont la faille MSHTML
Commençons par une bonne nouvelle : la vulnérabilité critique (et zero-day) située dans le moteur MSHTML d'Internet Explorer et qui touche Microsoft Office a été corrigée ! Pour rappel, il faut disposer d'un document Office malveillant pour exploiter cette faille de sécurité et infecter la machine de la victime. Il y a des campagnes de phishing en cours.
La seconde faille zero-day qui est connue publiquement, mais qui ne semble pas exploitée correspond à la référence CVE-2021-36968. Il s'agit d'une élévation de privilèges au sein du composant DNS de Windows. D'après les informations publiées sur le site de Microsoft, elle touche seulement Windows 7 SP1, Windows Server 2008 SP2 et Windows Server 2008 R2 SP1.
Un nouveau correctif pour la faille PrintNightmare
Pour rappel, PrintNightmare (CVE-2021-34527 et CVE-2021-36958), c'est le nom de la vulnérabilité critique qui a beaucoup fait parler d'elle ces derniers mois et qui touche le service "Spouleur d'impression" de Windows. Microsoft a déjà publié un correctif, mais il était partiellement efficace.
Au sein du Patch Tuesday de Septembre 2021, la firme de Redmond a publié un nouveau correctif de sécurité pour - enfin - venir à bout de PrintNightmare et plus particulièrement de la CVE "CVE-2021-36958". Comme les autres, il est intégré au patch cumulatif que vous pouvez installer sur vos postes de travail et serveur.
D'autres éditeurs publient des mises à jour !
Au-delà de Microsoft, il y a de nombreux éditeurs qui viennent de publier des mises à jour de sécurité pour leurs produits. Hier, je vous parlais de Google qui a publié une mise à jour de sécurité pour Chrome 93 afin de corriger deux failles zero-day.
De son côté, Apple a publié une mise à jour pour iOS et macOS afin de patcher deux failles zero-day dont une qui est exploitée par le logiciel espion Pegasus.
Si vous utilisez Linux et plus particulièrement Ubuntu, sachez qu'une update est disponible suite à la découverte de plusieurs vulnérabilités dans le noyau Linux d'Ubuntu. Enfin, si vous avez un NAS QNAP, l'éditeur vient de publier une mise à jour pour de sécurité son système QTS.
Les ordinateurs de la gamme Omen de chez HP sont concernés par une faille de sécurité critique ! Cela représente des millions d'appareils à travers le monde car d'autres modèles sont touchés. La bonne nouvelle, c'est qu'un correctif est disponible.
La faille CVE-2021-3437 touche les ordinateurs gaming de chez HP et elle permet à un attaquant d'effectuer un déni de service sur la machine cible, ainsi qu'une élévation de privilèges. En fait, la vulnérabilité se situe au sein du logiciel OMEN Gaming Hub, préinstallé sur les machines gaming du fabricant, aussi bien les PC fixes que les PC portables.
Le logiciel OMEN Gaming Hub sert à optimiser l'expérience en jeu en intégrant plusieurs options : overclocking, optimiser les paramètres du système pour le jeu, configuration des périphériques HP OMEN, etc.
Il s'appuie sur un pilote nommé HpPortIox64.sys qui permet d'effectuer diverses opérations au niveau des ports d'entrée/sortie, de la mémoire ou encore des ports PCI. Le problème, c'est que le pilote HP utilise une partie vulnérable du code source du pilote WinRingo.sys, qui un pilote open source.
D'après l'analyse de Kasif Dekel de chez SentinelOne, grâce à cette faille, un utilisateur standard sur l'ordinateur local peut exploiter cette faille pour effectuer une élévation de privilèges et exécuter du code en mode noyau, par l'intermédiaire des droits SYSTEM.
Il est important de préciser que le logiciel peut être installé à partir du Microsoft Store sur n'importe quelle machine Windows. Si vous avez un PC d'une autre marque, mais que vous utilisez un périphérique HP OMEN sur ce PC, et donc que vous avez installé le logiciel OMEN Gaming Hub, votre machine est vulnérable !
Au final, on peut dire qu'il y a des millions de machines touchées dans le monde entier.
Comment se protéger contre la faille du logiciel OMEN Gaming Hub ?
La bonne nouvelle, c'est qu'il existe un correctif de sécurité depuis le 27 juillet 2021 ! Vous devez mettre à jour les composants suivants sur votre machine :
OMEN Gaming Hub : au minimum la version 11.6.3.0
OMEN Gaming Hub SDK : au minimum la version 1.0.44 (pour certains modèles)
Voir le lien ci-dessus pour télécharger la mise à jour. Avant votre prochaine session de gaming, pensez à la mise à jour !
Dans cet article "Le protocole SMB pour les débutants", je vous propose de découvrir ce protocole indispensable et à connaître ! Après une brève présentation du protocole SMB, nous rentrerons dans le détail et nous finirons par une mise en pratique.
Le protocole SMB, pour Server Message Block, est un protocole client-serveur qui permet d'accéder à des ressources via le réseau, et particulièrement l'accès à des fichiers et des dossiers. Par exemple, si vous utilisez partagez des fichiers avec une machine Windows et que vous accédez à ses fichiers depuis une autre machine, la communication sera effectuée via le protocole SMB. C'est également le cas si vous montez un lecteur réseau vers ce partage. On retrouve essentiellement le protocole SMB sur les réseaux locaux, car il a été pensé pour cet usage.
Le protocole SMB est implémenté dans Windows, mais il est également disponible sous Linux et son implémentation se nomme SAMBA. Par ailleurs, tous les NAS actuellement sur le marché, je pense notamment aux modèles de chez Synology, Asustor, QNAP ou encore TerraMaster intègrent le protocole SMB. D'autres solutions open source comme FreeNAS, TrueNAS ou OpenMediaVault le supportent également, ce qui n'est pas étonnant puisqu'ils sont basés sur Linux.
Exemple : l'implémentation du protocole SMB sur un NAS ASUSTOR
Dans un environnement où il y a des machines Windows, le SMB est vraiment le protocole de base lorsque l'on veut effectuer du transfert de fichiers entre un client et un serveur.
Maintenant, rentrons un peu plus dans le détail.
II. Les différentes versions de SMB
Le protocole SMB n'est pas nouveau, je dirais même qu'il n'est pas récent puisqu'il existe sous Windows depuis Windows NT 4.0. Une version de Windows sortie le 31 juillet 1996. Néanmoins, c'est bien IBM qui l'a créé en 1985 : tout cela ne nous rajeunit pas. Au moment de son intégration au sein de Windows, il a été renommé CIFS pour Common Internet File System et ce terme est aujourd'hui encore utilisé dans certains logiciels, il est donc à connaître également. Aujourd'hui, le protocole se nomme officiellement SMB.
Ensuite, Microsoft a fait évoluer ce protocole en même temps que Windows. La première version nommée "SMB" a vu le jour avec Windows 2000. Ensuite, SMB 2 (ou 2.0.2) a vu le jour lorsque Windows Vista est arrivé, puis cette version était toujours là sur Windows 7. En 2012, Microsoft a sorti SMB 3 en même temps que Windows 8 et Windows Server 2012. Depuis, le protocole a légèrement évolué sur les dernières versions de Windows.
La version actuelle du protocole SMB est la version 3.1.1, disponible depuis Windows Server 2016 et Windows 10 version 1607.
Lorsque Microsoft fait évoluer le protocole SMB, c'est pour renforcer la sécurité, notamment la sécurité des échanges avec des algorithmes de chiffrement plus robustes (AES-128-GCM avec SMB V3.1.1). Par ailleurs, la gestion de la mise en cache a évoluée et Microsoft a introduit des fonctions liées aux performances comme le SMB Direct et le SMB Multichannel (utile pour les stockages à hautes performances).
III. Compatibilité SMB pour la négociation client/serveur
En regardant la synthèse ci-dessus, on comprend vite que la version du protocole SMB implémentée dans Windows n'est pas la même d'une version à l'autre. Se pose alors la question de la compatibilité du protocole SMB entre toutes ces versions : est-ce qu'une machine avec le SMB V2 peut communiquer avec une machine équipée du SMB V3 ? La réponse est oui, lorsque la connexion sera négociée entre les deux hôtes, un dialecte SMB commun sera sélectionné.
La version la plus faible sera retenue pour la communication SMB. C'est ce qu'il faut retenir et pour que ce soit plus clair, voici un récapitulatif. Néanmoins, dans certains vous pouvez rencontrer des problèmes, comme nous allons le voir juste après.
IV. Le SMB v1 : une version vulnérable et à éviter
En production, le SMB version 1 ne doit pas être utilisé, car il contient des failles de sécurité. En 2017, une faille dans SMB v1 a fait beaucoup de bruit : EternalBlue - CVE-2017-0144. Elle a été exploitée pour compromettre des millions de machines dans le monde et elle a été utilisée par des ransomwares ravageurs comme WannaCry et Petya. Depuis, Microsoft a corrigé cette faille, mais cette version n'est plus maintenue.
Cette version est obsolète et dépréciée depuis 2014 ! Microsoft a désactivé la prise en charge du SMB V1 au sein de Windows depuis Windows 10 version 1709 et Windows Server version 1709. Néanmoins, il est possible de réactiver le SMB v1 dans les options de Windows ou à l'aide de PowerShell.
Cette réactivation du protocole SMB V1 sur un serveur de fichiers est nécessaire si vous avez des clients SMB qui ne supportent que le SMB V1. Par exemple, c'est le cas si vous utilisez des machines Windows XP ou si vous avez des copieurs qui ont de l'âge et que vous souhaitez effectuer du "scan vers partage".
Si vous pouvez éviter le SMB V1, c'est mieux pour réduire la surface d'attaque de vos postes de travail et de vos serveurs. Lorsque le SMB V1 est actif, c'est une porte d'entrée pour la propagation de malwares, notamment les ransomwares.
Sur son site, Microsoft explique comment désactiver SMB v1 sur les différentes versions de Windows.
V. Quels sont les ports utilisés par le protocole SMB ?
Pour fonctionner, le protocole SMB utilise le port 139 ou le port 445. Il n'utilise pas les deux en même temps, voici plus d'informations :
SMB - Port 139
Historiquement, sur Windows NT 4.0, pour transférer des fichiers via le protocole SMB il était nécessaire d'établir une connexion sur le port 139. Pour contacter l'hôte, le protocole SMB s'appuyait sur NetBIOS.
SMB - Port 445
Le protocole SMB s'appuie sur une connexion TCP et le port 445 pour établir une connexion sécurisée entre le client et le serveur. La résolution du nom pour établir la connexion s'appuie sur le DNS.
Le port 445 est utilisé pour les connexions SMB sur tous les systèmes depuis Windows 2000, et c'est encore le cas aujourd'hui avec Windows 10, Windows Server 2019, mais aussi les nouveaux systèmes Windows 11 et Windows Server 2022.
Je mentionne les deux ports, car en fonction de l'implémentation du protocole SMB, le port 139 peut être encore utilisé via NetBIOS même si le port 445 est présent dans la majorité des cas. Malgré tout, c'est bien de le savoir.
VI. Créer son premier partage et tester l'accès SMB
Pour finir, nous allons manipuler le protocole SMB. L'objectif est simple : créer un partage sur une machine Windows et accéder à ce partage à partir d'une autre machine Windows. Bien sûr, vous pouvez utiliser un NAS comme serveur et un PC sous Windows comme client, voire même une machine Linux.
Nous avons besoin de deux machines :
Une machine avec un partage, qui jouera le rôle de serveur au sein de la connexion SMB
Système d'exploitation : Windows Server 2019
Une machine pour accéder aux données, qui jouera le rôle de client dans la connexion SMB
Système d'exploitation : Windows 10
Les deux machines sont membres d'un même domaine Active Directory
A. Créer un partage de fichiers sur le serveur
Sur le serveur Windows, commençons par créer le dossier à partager. Par exemple : "C:\Partage". Ensuite, il faut accéder aux propriétés du dossier pour créer le partage : clic droit puis "Propriétés".
Note : nous allons utiliser la méthode classique sous Windows, sans passer par le Gestionnaire de serveur.
Cliquez sur l'onglet "Partage" où nous pouvons voir que pour le moment le dossier n'est pas partagé. Cliquez sur "Partage avancé" : c'est ma méthode favorite pour créer un partage simple sur Windows, tout en ayant le contrôle.
Cochez l'option "Partager ce dossier" et donnez un nom au partage. Pour ma part, je vais le nommer "Partage", tout simplement. Il faut savoir que ce partage sera visible sur le réseau, mais il y a une petite astuce pour masquer un partage : il suffit d'ajouter un "$" à la fin du nom pour rendre le partage invisible.
Cliquez sur le bouton "Autorisations" : une autre fenêtre va s'ouvrir. Elle permet de définir les autorisations sur le partage. Sous Windows, lorsqu'un partage est créé il y a deux niveaux d'autorisations : les autorisations sur le partage et les autorisations au niveau du système de fichiers.
Si le groupe "Tout le monde" a les droits de lecture et d'écriture sur le partage, cela ne signifie pas que tout le monde peut accéder à votre partage et lire/modifier des fichiers. Cela dépend des autorisations définies sur le système de fichiers, que nous allons voir après.
Validez... Désormais, c'est bien spécifié "Partagé". Le chemin réseau est également précisé : \\SRV-ADDS-01\Partage, ce qui correspond à : \\Nom-du-serveur\Nom-du-partage.
Ce type de chemin est appelé un chemin UNC pour Universal Naming Convention. Si votre collègue vous demande le chemin UNC pour accéder au partage, il faudra lui donner "\\SRV-ADDS-01\Partage". Tout en sachant qu'un chemin UNC peut pointer vers un fichier ou un dossier directement, par exemple : "\\SRV-ADDS-01\Partage\Dossier1\MonFichier.txt".
Basculez sur l'onglet "Sécurité" : c'est ici que s'affichent les autorisations du système de fichiers, autrement dit cela correspond aux droits NTFS (si vous utilisez le NTFS sur ce volume). Par défaut, on peut voir qu'il y a déjà des droits, et on voit aussi que tout le monde n'a pas les droits ! En l'occurrence ici, ce sont des groupes du domaine Active Directory "IT-CONNECT".
Laissons comme cela, car à partir du poste client et d'un compte Administrateur du domaine, nous allons pouvoir accéder à notre partage.
Il n'y a plus qu'à tester...
B. Se connecter au partage SMB depuis le poste client
Me voilà connecté sur le poste client Windows 10. Je vais établir une connexion avec mon partage. Il y a plusieurs façons de faire, commençons par la plus courante : on saisit le chemin UNC du partage directement dans la barre d'adresse de l'explorateur.... Bingo ! J'accède bien à mon partage, même s'il est vide.
Je vous assure que la connexion au partage est effectuée grâce au protocole SMB. Par contre, nous ne savons pas quelle version est utilisée...
Ce que je vous propose, c'est d'ouvrir une console PowerShell, puis exécutez la commande suivante :
Get-SmbConnection
Cette commande permet d'obtenir plusieurs informations telles que le nom du serveur distant, le nom du partage, le nom du compte utilisé pour accéder au partage et le dialecte SMB utilisé ! Ici, on peut voir que la version "3.1.1" du protocole SMB est utilisée pour cette connexion.
Une autre façon d'ouvrir une connexion SMB sans passer par l'interface graphique de Windows, c'est d'utiliser PowerShell et le cmdlet Get-ChildItem. Il permet de lister le contenu d'un répertoire.
Ensuite, si vous relancez la commande "Get-SmbConnection", vous allez voir la connexion SMB apparaître !
Je souhaitais partager avec vous une astuce ! Si vous désirez connaître le dialecte SMB supporté par votre machine, vous pouvez interroger votre propre machine en ciblant le partage administratif C$. Exécutez la commande ci-dessous (dir est un alias de Get-ChildItem)
dir \\localhost\c$
Relancez une nouvelle fois la commande "Get-SmbConnection" : la connexion va apparaître et comme vous interrogez la machine locale, cela vous donne la version de SMB de cette machine en elle-même.
C. Capture des paquets SMB
Pour finir, on peut réaliser une analyse de paquets depuis le "serveur SMB" pour vérifier que nous utilisons bien le port 445. Pour cette simple opération, inutile d'installer un outil tiers puisque nous allons utiliser Packet Monitor (intégré à Windows). Il s'utilise avec la commande pktmon.
On commencer par ajouter deux filtres, l'un pour le port 445 et l'autre pour le port 139 (sait-on jamais).
pktmon filter add -p 445
pktmon filter add -p 139
On peut lister les filtres actifs :
pktmon filter list
Ensuite, on démarre la capture en temps réel et on affiche le résultat dans la console :
pktmon start --etw -m real-time
Depuis le poste client Windows 10, il faut accéder au partage pour générer du trafic SMB : la console de Packet Monitor va s'affoler et les paquets défilés à l'écran. Si vous regardez, vous verrez la mention "445" à la fin de l'adresse IP du serveur : cela signifie bien que la connexion SMB s'appuie sur le port 445/TCP !
Si vous souhaitez activer seulement le filtre sur le port 139 pour voir qu'il n'y a pas de flux sur ce port : supprimez les filtres (commande ci-dessous), recréez uniquement le filtre sur le port 139, relancer la capture et accédez à votre partage.
pktmon filter remove
Ce tutoriel d'introduction sur le protocole SMB touche à sa fin ! J'espère que vous avez pu apprendre de nouvelles choses !
Google a publié Chrome 93.0.4577.82 après avoir corrigé onze failles de sécurité, dont deux failles zero-day déjà exploitées par les hackers. Cette mise à jour du navigateur s'applique à Windows, Mac et Linux.
Cette nouvelle version disponible dans le canal stable de Chrome a pour objectif de protéger les utilisateurs contre les deux failles zero-day suivantes : CVE-2021-30632 et CVE-2021-30633. Ces deux vulnérabilités découvertes le 8 septembre 2021 concernent des bugs dans la gestion de la mémoire, dans le moteur JavaScript V8 pour la faille CVE-2021-30632 et dans l'API Indexed DB pour la faille CVE-2021-30633.
En exploitant ces vulnérabilités, un attaquant peut faire planter le navigateur de la victime, mais aussi contourner la sandbox du navigateur voire même exécuter du code malveillant à distance.
Au total en 2021, Google a corrigé 10 failles de sécurité zero-day au sein de son navigateur Chrome. Pour rappel, voici les autres failles zero-day corrigées cette année :
- CVE-2021-21148 - 4 février 2021
- CVE-2021-21166 - 2 mars 2021
- CVE-2021-21193 - 12 avril 2021
- CVE-2021-21220 - 13 avril 2021
- CVE-2021-21224 - 20 avril 2021
- CVE-2021-30551 - 09 juin 2021
- CVE-2021-30554 - 17 juin 2021
- CVE-2021-30563 - 15 juillet 2021
Puisque les deux nouvelles failles corrigées seraient utilisées dans le cadre d'attaques, il est recommandé de procéder à la mise à jour de Chrome dès maintenant. Pour cela, la méthode habituelle est toujours valable : menu> Aide > à propos de Google Chrome.
Si l'on souhaite changer de navigateur par défaut sur Windows, cela devient de plus en plus pénible ! En effet, avec Windows 11, il faut effectuer une multitude de clics pour parvenir à remplacer Edge par un autre navigateur. Les développeurs de chez Mozilla ont fait preuve d'ingéniosité pour vous permettre de définir Firefox par défaut en un seul clic ! Explications.
Sur Windows 11, pour définir un navigateur par défaut il faut agir sur chaque extension gérée par les navigateurs, comme je l'expliquais dans un précédent tutoriel : modifier le navigateur par défaut sur Windows 11. Autrement dit, il faut savoir où chercher et avoir un peu de patience. Microsoft veut clairement nous inciter à rester sur Edge et nous le fait comprendre.
Ce n'est pas une bonne nouvelle pour les navigateurs concurrents, notamment Firefox, qui est déjà en perte de vitesse depuis plusieurs mois. Néanmoins, la sortie de Firefox 91 pourrait bien changer la donne ! En effet, les développeurs de Mozilla ont trouvé une parade pour vous permettre de définir Firefox par défaut, au lancement du navigateur (avec une fenêtre que l'on connaît bien).
Un simple clic sur le bouton "Définir comme navigateur par défaut" fonctionne aussi bien sur Windows 10 que sur Windows 11 !
En fait, grâce à du reverse-engineering, les développeurs de chez Mozilla ont pu reproduire ce que faisait Edge lorsqu'il été définit par défaut à l'aide d'un bouton du même genre. De son côté, Microsoft explique que cette méthode n'est pas supportée pour modifier les applications par défaut, car elle permettrait de contourner certaines protections anti-hijacking de Windows.
Maintenant, il faut voir si les autres éditeurs suivent la méthode employée par Firefox ou si Microsoft met en place une restriction supplémentaire pour la bloquer. Affaire à suivre.
