Badlock : une vulnérabilité surévaluée

Près d’un mois après l’annonce initiale de « Badlock », la vulnérabilité a enfin été dévoilée au grand public.

Un site web dédié et un logo avaient été créés pour l’occasion. L’annonce demandait à la communauté des experts en sécurité de rester sur le qui-vive, prête à patcher leurs systèmes dès la publication des correctifs de sécurité. La façon de procéder laissait attendre un nouveau Heartbleed ou Shellshock.

Qu’est-ce que Badlock ?

La faille porte deux références CVE distinctes : CVE-2016-0128 (MS16-047) pour l’implémentation SMB/CIFS de Microsoft et CVE-2016-2118 pour la version libre de Samba. Cette vulnérabilité touche ainsi les principaux systèmes d’exploitation utilisés : Microsoft Windows et Linux. Mac OS X implémente également une version du client/serveur dénommée SMBX. Cependant, aucune information de la part d’Apple ou des chercheurs laissant à penser que le système à la pomme est vulnérable n’est disponible à l’heure actuelle.

Le soufflé est cependant vite retombé dans les heures qui ont suivi la publication des détails de Badlock. En effet, étant donné la méthode adoptée par les chercheurs pour annoncer la découverte de cette faille, de nombreux experts en sécurité s’attendaient à ce qu’une faille de type RCE, permettant donc de prendre le contrôle d’un système à distance soit divulguée. Dans les faits, les dommages associés à Badlock sont bien moindres.

Quels impacts pour cette faille ?

Badlock peut concrètement être exploitée afin de réaliser une attaque de type Man-In-The-Middle. Cette attaque permettrait d’intercepter le trafic réseau et ainsi de récupérer des informations sensibles, notamment si le serveur Samba est utilisé via une authentification sur Active Directory. Des mots de passe de connexion peuvent ainsi être récupérés sous leur forme hashée.
Un attaquant pourrait également provoquer un déni de service sur un serveur Samba. Si un service Samba est accessible depuis Internet (port 445 ouvert), un attaquant distant est en mesure de le rendre indisponible.

De par sa conception, SMB/CIFS propose différents mécanismes pouvant être assimilés à de l’usurpation d’identité (SMB-relay, Pass-the-Hash). La faille Badlock permettant de réaliser une attaque de type Man-In-The-Middle n’est donc clairement pas aussi sensible que ce à quoi on aurait pu s’attendre…

Comment la corriger ?

Les versions vulnérables de Samba sont les suivantes :

  • Samba 3.6.x
  • Samba 4.0.x
  • Samba 4.1.x
  • Samba 4.2.0-4.2.9
  • Samba 4.3.0-4.3.6
  • Samba 4.4.0

Les correctifs pour Samba (CVE-2016-2118) sont disponibles au sein des versions suivantes :

  • Samba 4.2.11,
  • Samba 4.3.8,
  • Samba 4.4.2

À noter que les versions 4.1.x et inférieures ne sont plus supportées par les développeurs du projet Samba. C’est pourquoi elles ne bénéficient pas de correctifs.

Il est aussi recommandé d’appliquer les mises à jour Windows (Windows Update) afin de corriger la vulnérabilité CVE-2016-0128 affectant les systèmes Microsoft.

CERT-XMCO

Découvrir d'autres articles