{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Windows 10 version 1909","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows 10 version 1903","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server (Server Core Installation) version 1909","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server (Server Core Installation) version 1903","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2020-07-31","content":"## Solution\n\n**\\[Mise \u00e0 jour du 12 mars 2020\\]**\n\nMicrosoft a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9\u00a0CVE-2020-0796. Le\nCERT-FR recommande d'appliquer la mise \u00e0 jour dans les plus brefs\nd\u00e9lais. L'application du correctif ne dispense pas de respecter les\nbonnes pratiques rappel\u00e9es ci-apr\u00e8s.\n\n**\\[Publication initiale\\]**\n\nDans l'attente d'un correctif de l'\u00e9diteur, le CERT-FR demande que le\ncontournement publi\u00e9 par l'\u00e9diteur \\[1\\] soit imm\u00e9diatement appliqu\u00e9.\n\nIl est important de souligner que ce contournement prot\u00e8ge le service\n'serveur' SMB et ne n\u00e9cessite pas de red\u00e9marrage. En revanche, les\n**clients SMB restent vuln\u00e9rables**.\n\nLe CERT-FR rappelle que les r\u00e8gles de bonnes pratiques de s\u00e9curisation\ndes environnements Microsoft doivent \u00eatre scrupuleusement respect\u00e9es :\n\n-   Interdire tout flux SMB sur les ports TCP/139 et TCP/445 en entr\u00e9e\n    et en sortie du Syst\u00e8me d'Information \\[2\\] ;\n-   Pour le cloisonnement interne : n'autoriser les flux SMB que lorsque\n    cela est n\u00e9cessaire (contr\u00f4leurs de domaine, serveurs de fichiers,\n    etc.) et bloquer ce flux entre postes de travail ;\n-   Pour les postes nomades : interdire tous les flux SMB entrant et\n    sortant et n'autoriser ces flux vers des serveurs SMB qu'au travers\n    d'un VPN s\u00e9curis\u00e9 \\[3\\]\\[4\\]\n\nCes mesures sont de port\u00e9e g\u00e9n\u00e9rale et doivent \u00eatre appliqu\u00e9es\nsyst\u00e9matiquement au sein d'un Syst\u00e8me d'Information.\n\n\u00a0\n","cves":[{"name":"CVE-2020-0796","url":"https://www.cve.org/CVERecord?id=CVE-2020-0796"}],"links":[{"title":"[4] Recommandations sur le nomadisme num\u00e9rique","url":"https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"},{"title":"[3] Bulletin d'actualit\u00e9 CERT-FR","url":"https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-001/"},{"title":"Avis CERT-FR CERTFR-2020-AVI-149 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-149","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-149/"},{"title":"[2] Recommandations relatives au blocage de ports de pare-feu sp\u00e9cifiques pour emp\u00eacher le trafic SMB de quitter l'environnement d'entreprise","url":"https://support.microsoft.com/fr-fr/help/3185535/preventing-smb-traffic-from-lateral-connections"}],"reference":"CERTFR-2020-ALE-008","revisions":[{"description":"Version initiale","revision_date":"2020-03-11T00:00:00.000000"},{"description":"Publication du correctif","revision_date":"2020-03-12T00:00:00.000000"},{"description":"Des codes d'exploitation sont disponibles publiquement.","revision_date":"2020-06-02T00:00:00.000000"},{"description":"La cl\u00f4ture d'une alerte ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2020-07-31T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[Mise \u00e0 jour du 02 juin 2020\\]</strong>\n\nDes codes d'exploitation ont \u00e9t\u00e9 publi\u00e9s publiquement pour la\nvuln\u00e9rabilit\u00e9 CVE-2020-0796. Celle-ci affecte l'impl\u00e9mentation du\nprotocole SMB par Microsoft et permet une ex\u00e9cution de code arbitraire \u00e0\ndistance. Il est donc urgent d'appliquer les mises \u00e0 jour si ce n'a pas\nencore \u00e9t\u00e9 fait.\n\n<strong>\\[Publication initiale\\]</strong>\n\nLes solutions Microsoft reposent sur un grand nombre de services r\u00e9seau\ndont un service de partage de ressources (fichiers, imprimantes, ...)\nd\u00e9nomm\u00e9 *SMB*. Ce service est pr\u00e9sent \u00e0 la fois sur les postes de\ntravail et sur les serveurs Windows.\n\nMicrosoft a ajout\u00e9 une extension au protocole SMB V3.1.1 permettant la\ncompression des flux. Cette extension, activ\u00e9e par d\u00e9faut, est\nimpl\u00e9ment\u00e9e depuis certaines versions de Windows (cf. ci-dessus). Les\nserveurs Windows Server 2019, Windows Server 2016 ainsi que les versions\nant\u00e9rieures ne sont pas affect\u00e9s.\n\nLe 10 mars 2020, l'\u00e9diteur a publi\u00e9 un avis concernant une vuln\u00e9rabilit\u00e9\naffectant la gestion de la compression dans son impl\u00e9mentation du\nprotocole SMB. Cette vuln\u00e9rabilit\u00e9 est de type d\u00e9bordement de tampon et\npermet \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0\ndistance sans authentification (*preauth*).\n\nLa fonction vuln\u00e9rable est utilis\u00e9e \u00e0 la fois par le client et le\nserveur qui partage des ressources (fichier, imprimante). Par\ncons\u00e9quent, une personne malveillante pourrait exploiter cette\nvuln\u00e9rabilit\u00e9 pour compromettre un serveur de ressources SMB, puis, par\nrebond, toutes les machines qui se connecteraient \u00e0 ce serveur : la\ncompromission en cha\u00eene de machines vuln\u00e9rables est donc possible.\n\nDes informations sur cette vuln\u00e9rabilit\u00e9 ont \u00e9t\u00e9 divulgu\u00e9es par des\nchercheurs alors que Microsoft n'a pas publi\u00e9 de correctif.\n\nLe CERT-FR estime que des codes d'exploitation sont susceptibles d'\u00eatre\npubli\u00e9s rapidement.\n","title":"Vuln\u00e9rabilit\u00e9 dans l'impl\u00e9mentation du protocole SMB par Microsoft","vendor_advisories":[{"published_at":null,"title":"[1] Bulletin de s\u00e9curit\u00e9 Microsoft ADV200005 du 10 mars 2020","url":"https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200005"}]}