Une vulnérabilité vieille de près de deux ans dans le système de fichiers réseau SMB de Microsoft Windows est à nouveau activement exploitée. L'Agence américaine de cybersécurité et de sécurité de l'information (CISA) émet donc une nouvelle fois un avertissement pour Windows 10 et Windows Server.
Windows 10 : une ancienne vulnérabilité SMB à nouveau ouverte
La Cyber Security and Information Security Agency (CISA) a ajouté 15 nouvelles vulnérabilités à une nouvelle liste d'exploits Windows actifs. Parmi elles figure la vulnérabilité particulièrement critique CVE-2020-0796, également connue sous ses surnoms SMBGhost ou Eternal Darkness.
Apparu il y a presque deux ans, il a été noté 10 sur 10 par Microsoft lui-même, ce qui le rend particulièrement dangereux. Il affecte le système de fichiers réseau SMB dans la version 3.0 actuelle de Windows 10 et Windows Server.
Grâce à l'exécution de code à distance (RCE), la vulnérabilité permet aux attaquants d'exécuter activement du code malveillant sur les appareils affectés. La création d'un ver informatique dangereux (« wormable ») ne pose également aucun problème avec cette vulnérabilité, comme l'a noté la société de sécurité américaine Tenable dans un article de 2020.
Le patch n'a pas été appliqué
Le problème : un correctif de sécurité qui corrige la vulnérabilité CVE-2020-0796 a été publié par Microsoft en mars 2020, mais n'a pas encore été installé par tous les utilisateurs. Ainsi, la vulnérabilité peut toujours être activement exploitée par les personnes concernées.
L'écart de sept ans continue d'être exploité
La liste publiée par la CISA contient également des avertissements concernant d'autres vulnérabilités actuellement activement exploitées. Sont concernés, entre autres, Microsoft Office avec une vulnérabilité RCE (CVE-2017-0262), ainsi que SMBv1 qui n'est plus officiellement pris en charge.
Une vulnérabilité particulièrement ancienne (CVE-2015-1635) dans le composant Windows HTTP.sys, qui fonctionne comme pilote de noyau, est également problématique. Elle date déjà d'environ sept ans et est de nouveau dans le collimateur des attaquants. La soi-disant « vulnérabilité de débordement de tampon basée sur le tas d'Apple OS X » avec le code CVE-2014-4404 est même plus ancienne d'un an. La CISA ne révèle pas la source des informations selon lesquelles ces vulnérabilités sont à nouveau activement exploitées.