1 – Protection des systèmes Windows lors de l’accès à des ressources distantes

Le 10 février 2015, Microsoft a publié les bulletins de sécurité MS15-011 (critique) et MS15-014 (important), modifiant les modalités d’accès à des ressources distantes (SMB, GPO, DFS, etc.). Ceci vise à corriger des vulnérabilités dans la façon dont les systèmes Windows accèdent à des partages réseau et appliquent les stratégies de groupe (GPO).

Description du correctif MS15-011

Jusqu’à la publication de ce correctif, le niveau de sécurité exigé par les clients Windows lors de l’accès à des partages à travers le protocole SMB (notamment en ce qui concerne la signature des données échangées) faisait l’objet d’un paramétrage global au niveau du système.

Imposer systématiquement et de manière globale la signature SMB est difficilement applicable en environnement professionnel réel (exemple : présence sur le SI de services ou d’équipements, tels que des filers, ne supportant pas la signature SMB).

Ainsi dans la pratique, la signature des échanges SMB était supportée par les clients Windows, mais pas exigée.

Il en résulte une vulnérabilité des systèmes Windows face aux attaques par le milieu (man in the middle), consistant à usurper l’identité d’un serveur SMB (cf. [1]).

Ce type d’attaque peut notamment cibler la phase de récupération des stratégies de groupes (GPO) auprès d’un contrôleur de domaine Active Directory. Dans ce cas, elle permet de déployer des paramètres de sécurité dégradés, ou encore des scripts d’initialisation arbitraires s’exécutant sous les privilèges SYSTEM sur la ressource concernée.

Le correctif MS15-011 apporte la possibilité de contrôler finement l’application des exigences de sécurité pour l’accès à des ressources distantes. Pour cela, une fonctionnalité nommée « chemins d’accès UNC renforcés » (ou UNC hardening) a été implémentée, permettant d’exiger des protections particulières suivant les chemins réseau SMB :

  • authentification mutuelle (utilisation de Kerberos) ;
  • signature des échanges (cf. [2]) ;
  • chiffrement des échanges (si SMB3 est suppporté par le client et le serveur).

La spécification des chemins à protéger se fait soit de manière littérale (exemple : \\domaine.com\partage), soit à travers des expressions à motifs (exemple : \\*\partage\ ).

Cette fonctionnalité permet en particulier de se prémunir contre les attaques par le milieu lors de la récupération de ressources critiques, telles que des stratégies de groupes dans le cadre d’un domaine Active Directory.

Note : les propriétés de sécurité telles que l’authentification mutuelle n’étant pas fournies par le protocole NTLM, seuls les services accédés à travers le protocole Kerberos pourront être accédés dans le cadre de l’UNC hardening (ce qui exclut tout UNC basé sur l’adresse IP de l’hôte délivrant le partage, cf. [3] et [4]).

Ce correctif n’est disponible que pour les systèmes Windows Vista/2008 et ultérieurs.

En tant que client SMB, le système Windows Server 2003 ne bénéficie donc pas de la fonctionnalité des chemins d’accès UNC renforcés. En tant que serveur SMB, Windows Server 2003 SP2 est en mesure de répondre aux clients exigeant une authentification mutuelle et la signature des échanges SMB.

Pour rappel, le support de Windows Server 2003 prenant fin le 14 juillet 2015, il est impératif de migrer au plus vite ces systèmes.

Par ailleurs, la fonctionnalité de chiffrement des échanges n’est disponible que dans la version 3 du protocole SMB, apparue avec Windows 8 et Windows Server 2012.

Description du correctif MS15-014

Ce correctif porte sur le comportement du moteur d’application des GPO lorsque le client ne parvient pas à récupérer la politique de groupe auprès du contrôleur de domaine. Sans ce correctif, le comportement consiste à appliquer la politique de sécurité par défaut, ce qui peut aboutir à une dégradation des paramètres de sécurité (notamment des paramètres relatifs aux chemins d’accès UNC renforcés détaillés précédemment).

Lorsque ce correctif est appliqué, en cas d’incapacité à récupérer des stratégies de groupe valides, le moteur d’application des GPO applique la dernière version valide des GPO précédemment récupérées auprès d’un contrôleur de domaine.

Cette mesure complète ainsi la sécurisation de l’accès aux UNC hébergeant les stratégies de groupe, apportée par le correctif MS15-011, dans la mesure où elle empêche la réalisation d’attaques visant à bloquer le déploiement de ces paramètres.

Conclusion

Il est recommandé d’appliquer ces deux correctifs de sécurité et de paramétrer la fonctionnalité des chemins d’accès UNC renforcés, au minimum pour les partages hébergeant les stratégies de groupes et les scripts de démarrage du domaine Active Directory.

Pour cela, l’authentification mutuelle (RequireMutualAuthentication=1) ainsi que la signature des échanges (RequireIntegrity=1) doivent être activées pour les chemins « \\*\SYSVOL » et « \\*\NETLOGON », à travers la stratégie de groupe suivante : Ordinateur / Modèles d’administration / Réseau / Fourniseur réseau / Chemins d’accès UNC renforcés

Ce paramètre correspond à la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths

Références

1
https://labs.mwrinfosecurity.com/blog/2015/04/02/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/
2
http://blogs.technet.com/b/josebda/archive/2010/12/01/the-basics-of-smb-signing-covering-both-smb1-and-smb2.aspx
3
http://blogs.technet.com/b/srd/archive/2015/02/10/ms15-011-amp-ms15-014-hardening-group-policy.aspx
4
http://blogs.technet.com/b/askpfeplat/archive/2015/02/23/guidance-on-deployment-of-ms15-011-and-ms15-014.aspx

2 – Version malveillante du logiciel PuTTY en circulation sur Internet

PuTTY est un logiciel réalisé par Simon Tatham qui fonctionne comme client Telnet, SSH et terminal xterm. Il est largement utilisé dans les entreprises et administrations pour se connecter à distance depuis des stations Windows sur des environnements Linux ou UNIX.

Récemment, un éditeur antivirus a rencontré une version malveillante de ce logiciel, diffusée sur Internet via des sites non officiels. Ce programme non officiel a été modifié de manière à intégrer un code malveillant qui va subtiliser les mots de passe de connexion.

Lorsque la victime se connecte à un serveur, l’attaquant est notifié de l’adresse du serveur et reçoit également le couple identifiant et mot de passe correspondant. Le faux programme utilise alors un User-Agent spécifique pour envoyer ces informations sous forme de requête HTTP GET qu’il est possible de rechercher dans les journaux du serveur mandataire :

Opera/9.80 (Windows NT 6.1~; U~; ru) Presto/2.9.168 Version/11.51

Il est conseillé de mettre en oeuvre des moyens d’authentification via un système à clé publique, cependant, face à une telle menace la victime reste potentiellement assujettie au vol de clé privée.

Loin d’être le seul logiciel concerné par ce type de problème, le CERT-FR recommande de toujours télécharger un programme sur son site officiel et, si possible, de vérifier l’authenticité de celui-ci via les signatures où les empreintes mises à disposition par l’éditeur original.

Documentation

Rappel des avis émis

Dans la période du 18 au 24 mai 2015, le CERT-FR a émis les publications suivantes :