Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Vulnérabilités SMBv3 expliquées

Vulnérabilités SMBv3 expliquées

Jun 25, 2024

Les lieux de travail ont évolué. Alors que le travail hybride et à distance existait avant la COVID-19, ces modalités de travail sont devenues encore plus courantes pendant et après la pandémie. Aujourd'hui, les lieux de travail offrent la flexibilité aux employés de travailler et d'accéder aux ressources de l'entreprise depuis n'importe où dans le monde, avec le protocole Server Message Block (SMB) au centre de cela. Cependant, cette flexibilité a ouvert la porte à des défis de cybersécurité plus importants car un modèle de sécurité basé uniquement sur le périmètre traditionnel n'est plus suffisant.

Cet article explorera ces préoccupations de cybersécurité, en particulier dans le SMBv3, et fournira des mesures pratiques pour les identifier et les atténuer.

Qu'est-ce que SMBv3 ?

Le protocole Server Message Block (SMB) désigne un protocole réseau qui permet aux applications, ordinateurs et appareils de communiquer et de partager des ressources, telles que des fichiers, des imprimantes et des ports série, sur un réseau. Il facilite la communication entre les clients (appareils demandant l'accès aux ressources) et les serveurs (appareils fournissant des ressources) sur un réseau local (LAN) ou à travers Internet.

Depuis sa création dans les années 1980, SMB a connu plusieurs itérations (avec des améliorations en termes de performance et de sécurité), SMBv3 étant la dernière en date.

Vulnérabilités SMBv3

Malgré les améliorations majeures apportées à SMBv3, il présente toujours certaines vulnérabilités de sécurité, l'exécution de code à distance étant l'une des plus préoccupantes. L'exécution de code à distance (RCE) est une vulnérabilité de sécurité qui permet aux acteurs de la menace d'exécuter ou de faire fonctionner du code malveillant sur un ordinateur ou un réseau, généralement à distance, pour prendre le contrôle complet.

SMBGhost (CVE-2020-0796)

Le 10 mars 2020, Microsoft a accidentellement publié des informations sur une vulnérabilité nouvellement identifiée (CVE-2020-0796) dans SMBv3. Bien que Microsoft ait rapidement supprimé ces informations, les chercheurs les avaient déjà notées. Cela a forcé Microsoft à publier un avis formel deux jours plus tard (le 12 mars 2020).

Ces événements ont conduit la communauté de la sécurité à surnommer CVE-2020-0796 SMBGhost. Selon Microsoft, cette vulnérabilité pourrait conduire à l'exécution de code à distance sur le serveur, ce qui est toujours une préoccupation majeure en tant que vulnérabilité grave.

L'avis de Microsoft a souligné que des acteurs malveillants peuvent exploiter cette vulnérabilité en envoyant un paquet spécialement conçu à une cible, le serveur SMBv3. Cela est très similaire à la vulnérabilité SMBv1. La partie effrayante de cette vulnérabilité est que les chercheurs l'ont jugée « propageable », ce qui signifie que si quelqu'un exploitait l'une de vos machines, elle pourrait potentiellement se propager de machine en machine dans tout votre environnement.

La version spécifiquement affectée était la 3.1.1, la plus récente version de SMBv3. Microsoft a également indiqué que la vulnérabilité affectait toutes les versions de Windows 10 et Windows Server exécutant les versions 1903 et 1909.

Heureusement, il existe certaines atténuations et solutions de contournement potentielles pour éviter ce problème, et à partir du 3/12/2020, Microsoft a publié un patch qui traite cette vulnérabilité.

Contenu connexe sélectionné :

CVE-2022-24508

Deux ans après le SMBGhost, le 8 mars 2022, Microsoft a publié une autre mise à jour de sécurité concernant SMBv3. Décrite comme une vulnérabilité d'exécution de code à distance lors de l'énumération de fichiers Win32, CVE-2022-24508 était une autre vulnérabilité RCE affectant principalement la version 2004 de Windows 10 et les versions plus récentes prenant en charge SMBv3.

Bien qu'il n'y ait pas autant d'informations sur CVE-2022-24508 que sur SMBGhost, il convient de noter que Microsoft a qualifié la gravité de cette vulnérabilité d'« importante ». Cela signifie que les organisations devraient toujours lui accorder l'attention nécessaire en prenant des mesures pour la prévenir.

Risques et impact des vulnérabilités SMBv3

Étant donné que la vulnérabilité de sécurité la plus significative de SMBv3 est l'Exécution de Code à Distance (RCE), cette section explorera les risques liés à cette menace. Cela inclut les éléments suivants :

  • Accès non autorisé : La toute première conséquence d'une attaque RCE est l'accès non autorisé des acteurs malveillants au réseau interne d'une organisation. Cela peut avoir des conséquences graves, comme l'escalade de privilèges, qui donne aux attaquants plus d'autorité au sein du réseau pour mener des actions plus nuisibles.
  • Violations de données : Les données, en particulier les données internes de l'entreprise (secrets d'entreprise), sont l'un des actifs les plus importants des organisations. Si ces données tombaient entre de mauvaises mains, les effets seraient dévastateurs. Ainsi, l'une des principales raisons pour lesquelles les attaquants réalisent des attaques RCE est de voler des données sensibles de l'entreprise.
  • Propagation des logiciels malveillants : Une fois à l'intérieur d'un réseau, les attaquants peuvent propager du code malveillant par l'escalade de privilèges à d'autres réseaux et appareils connectés.
  • Attaques de rançongiciels : Les acteurs de menaces peuvent également utiliser des attaques RCE pour prendre en « otage » les ressources d'une entreprise. Dans une telle situation, les attaquants bloquent les administrateurs de l'entreprise hors du réseau affecté ou chiffrent des données essentielles et exigent un paiement en échange de l'accès.
  • Non-conformité réglementaire : Une violation de données peut mettre votre organisation en risque de non-conformité avec les lois et réglementations qui régissent la manipulation des données, telles que le General Data Protection Regulation (GDPR) et le Health Insurance Portability and Accountability Act (HIPAA). Cela peut entraîner de lourdes amendes de la part de ces régulateurs et une perte de confiance des clients.
  • Pertes financières : Prises individuellement ou combinées, les risques évoqués ci-dessus peuvent entraîner des pertes significatives pour les organisations concernées. Les entreprises risquent de subir de lourdes pertes financières, allant du paiement de rançons à la récupération des pertes dues aux temps d'arrêt et au paiement d'amendes en raison de la conformité réglementaire.

Prévention et atténuation des vulnérabilités SMBv3

La première étape (et la plus évidente) pour prévenir les vulnérabilités SMBv3 consiste à appliquer les correctifs que Microsoft a fournis par le passé. C'est le moyen le plus efficace d'atténuer les vulnérabilités identifiées qui ont des solutions connues.

Si, pour une raison quelconque, vous n'êtes pas en mesure d'appliquer les correctifs à court terme, Microsoft a identifié une solution de contournement pour empêcher les acteurs de la menace d'exploiter cette faille. Le problème réside dans la compression SMB, donc désactiver cette fonctionnalité de SMB vous protégera d'un attaquant tentant de l'exploiter.

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

Le code PowerShell ci-dessus mettra à jour votre registre et désactivera la fonction de compression sur les serveurs SMB. Cela ne protégera pas vos clients SMB ; le code nécessaire pour mettre à jour vos clients est ci-dessous :

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 0 -Force

Heureusement, aucune de ces mises à jour du registre ne nécessite un redémarrage pour prendre effet.

Une question que vous pourriez vous poser concerne l'impact de la désactivation de la compression SMB. Microsoft mentionne dans leur advisory que la compression SMB n'est même pas encore utilisée dans Windows ou Windows Server. Cela n'aura aucun impact négatif sur les performances.

Meilleures pratiques pour atténuer les risques associés aux vulnérabilités SMBv3

Bien que l'application des correctifs soit essentielle et puisse aider à protéger contre les vulnérabilités SMBv2, il existe plusieurs mesures que vous pouvez prendre pour garantir une protection maximale des réseaux de votre organisation, y compris les suivantes.

Utilisez les dernières versions de SMB

Les dernières versions de SMB incluront généralement des mises à jour qui peuvent aider à sécuriser votre réseau. Comme mentionné précédemment, Microsoft a publié plusieurs mises à jour pour SMB depuis sa création. Bien que la dernière version soit SMBv3, il y a eu tout de même des mini-mises à jour au sein de cette version, et au moment de la rédaction de cet article, la plus récente est SMB 3.1.1, conçue pour Windows 10 et Windows Server 2016. Par exemple, cette version comporte plusieurs mises à jour qui la rendent plus sécurisée que les versions précédentes, telles que :

  • Chiffrement
  • Mise en cache de l'annuaire
  • Intégrité pré-authentification
  • Prise en charge de la mise à niveau progressive des clusters

Segmentez votre réseau

En cas d'attaque, les acteurs de la menace peuvent utiliser l'escalade de privilèges pour étendre l'impact à travers les réseaux connectés. Vous pouvez réduire l'ampleur et la portée de l'attaque en divisant votre réseau en segments ou sous-réseaux plus petits et isolés. De cette façon, même si les pirates exploitent une vulnérabilité dans un segment, ils ne peuvent pas l'utiliser pour accéder à un autre dans votre réseau.

Surveillance du trafic réseau

Même avec des correctifs et l'application des meilleures pratiques de sécurité, vous devez rester vigilant face aux comportements suspects ou anormaux et même aux signatures d'attaque connues au sein de votre réseau. Pour ce faire, vous pouvez mettre en œuvre les stratégies suivantes :

  • Établissez une base de référence du comportement normal du réseau ; toute déviation par rapport à celle-ci devrait être signalée comme une menace potentielle.
  • Utilisez des systèmes de détection d'intrusion (IDS) et des systèmes de prévention d'intrusion (IPS)
  • Utilisez des outils d'analyse du trafic réseau
  • Analysez les données de télémétrie des points de terminaison et les modèles de comportement
  • Activez la journalisation sur les appareils de network devices

Configurez les pare-feu

Les pare-feu peuvent être extrêmement utiles pour protéger l'intégrité de votre réseau. Ils fonctionnent en appliquant une politique de refus, où votre réseau bloque tout trafic entrant et sortant qui ne correspond pas à la catégorie « autorisée » des paramètres du pare-feu. Par exemple, si vous configurez des pare-feu pour limiter le trafic SMB à des adresses IP ou des sous-réseaux spécifiques, vous pouvez aider à prévenir l'accès non autorisé provenant d'attaques d'exécution à distance.

Comment Netwrix peut aider

Les vulnérabilités SMB ont toujours existé et existeront toujours. Mais le fait que cela soit la réalité ne signifie pas que vous devriez accepter cela comme une norme et ne rien faire à ce sujet. Vous pouvez et devez prendre des mesures proactives pour protéger le réseau de votre organisation contre les vulnérabilités de sécurité et les risques associés.

Heureusement, Netwrix peut aider. Nous avons des solutions Identity Threat Detection and Response (ITDR) qui peuvent vous tranquilliser. Les solutions Netwrix ITDR vous aident à identifier les menaces potentielles en fournissant des alertes en temps réel. Une fois identifiées, ces solutions vous aident à fermer rapidement et automatiquement les menaces avec des playbooks préétablis. Enfin, Netwrix facilite un processus de récupération rapide pour votre réseau en le restaurant à son état pré-attaque.

Besoin d'une solution proactive pour prévenir les vulnérabilités SMBv3 ?Contactez-nous dès aujourd'hui pour découvrir comment nous pouvons vous aider.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Kevin Joyce

Directeur de Product Management

Directeur de Product Management chez Netwrix. Kevin a une passion pour la cybersécurité, en particulier pour comprendre les tactiques et techniques utilisées par les attaquants pour exploiter les environnements des organisations. Avec huit ans d'expérience en gestion de produit, se concentrant sur la sécurité d'Active Directory et de Windows, il a utilisé cette passion pour aider à développer des solutions permettant aux organisations de protéger leurs identités, infrastructures et données.

En savoir plus sur ce sujet

Trouver des autorisations Active Directory abusables avec BloodHound

Services de certificats AD : Paramètres à risque et leur remédiation

Qu'est-ce qu'une attaque DCSync ?

How to Prevent Cyber Attacks: Strategies and Best Practices

Cyberattaques en 2023 : Incidents clés et leçons apprises pour 2025

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité