Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Windows Server 2008 pour systèmes 32 bits ;
- Microsoft Windows Server 2008 pour systèmes 32 bits Service Pack 2 ;
- Microsoft Windows Server 2008 pour systèmes Itanium ;
- Microsoft Windows Server 2008 pour systèmes Itanium Service Pack 2 ;
- Microsoft Windows Server 2008 pour systèmes x64 ;
- Microsoft Windows Server 2008 pour systèmes x64 Service Pack 2.
- Microsoft Windows Vista ;
- Microsoft Windows Vista Service Pack 1 ;
- Microsoft Windows Vista Service Pack 2 ;
- Microsoft Windows Vista x64 ;
- Microsoft Windows Vista x64 Service Pack 1 ;
- Microsoft Windows Vista x64 Service Pack 2 ;
Résumé
Une vulnérabilité dans SMBv2 sous Microsoft Windows permet à une personne malintentionnée distante de provoquer un déni de service et potentiellement d'exécuter du code arbitraire.
Description
Une vulnérabilité a été identifiée dans le pilote srv2.sys. Une personne malintentionnée distante, peut, au moyen d'un paquet spécifiquement conçu, provoquer un déni de service voire exécuter du code arbitraire.
Du code d'exploitation est disponible sur l'Internet.
Contournement provisoire
- désactiver SMB v2 (cf. avis Microsoft) ;
- filtrer les ports 139/TCP et 445/TCP en amont.
Les contournements proposés permettent de maintenir la mise en œuvre du partage de fichiers en utilisant le protocole SMB dans sa version 1.
Toutefois des effets de bords liés à l'application de ces contournements ne peuvent être écartés, telle une diminution des performances. De ce fait, le CERTA recommande de procéder à la vérification de ces contournements dans le contexte du système d'information vulnérable avant tout déploiement.
De plus, Microsoft a publié deux outils permettant d'automatiser l'application du contournement provisoire ainsi que son retrait. Ces outils sont disponibles à l'adresse suivante :
http://support.microsoft.com/kb/975497
Solution
Le bulletin de sécurité MS09-050 de Microsoft corrige cette vulnérabilité.
Documentation
- Avis de sécurité Microsoft 975497 du 13 octobre 2009 http://www.microsoft.com/technet/security/advisory/975497.mspx
- Bulletin de sécurité Microsoft MS09-050 du 13 octobre 2009 http://www.microsoft.com/technet/security/bulletin/ms09-050.mspx
- Article Microsoft 975497 du 17 septembre 2009 : http://support.microsoft.com/kb/975497
- Référence CVE CVE-2009-3103 : http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-3103
- Référence CVE CVE-2009-3103 https://www.cve.org/CVERecord?id=CVE-2009-3103