Description
Plusieurs vulnérabilités sérieuses ont été trouvées dans Microsoft Server Message Block 1.0 (SMBv1). Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter du code arbitraire ou obtenir des informations sensibles.
Voici une liste complète des vulnérabilités:
- Un traitement incorrect de certaines requêtes peut être exploité à distance par un attaquant non authentifié via des paquets spécialement conçus pour exécuter du code sur le serveur cible;
- Un traitement incorrect de certaines requêtes peut être exploité à distance par un attaquant non authentifié via des paquets spécialement conçus pour exécuter du code afin d'obtenir des informations sensibles du serveur.
Détails techniques
L'exploitation réussie de ces vulnérabilités peut déclencher l'attaque WannaCry.
En cas d'attaque WannaCry, les modules EternalBlue sont utilisés pour commencer à exploiter les vulnérabilités SMB; Si une tentative d'exploitation réussit, la porte dérobée DoblePulsar est utilisée pour installer le logiciel malveillant.
Les paquets SMBv1 et SMBv2 peuvent être utilisés dans l'attaque WannaCry. Leur désactivation peut donc empêcher l'infection du système opérationnel. Il est fortement recommandé de désactiver SMBv1, car ce vieux protocole n'a pas d'impact significatif sur les systèmes opérationnels modernes. La désactivation de SMBv2 peut entraîner de sérieux problèmes.
Pour plus de détails, voir l' article de Securelist .
Les utilisateurs de Windows XP, Windows 8 et Windows Server 2003 doivent lire les instructions du client pour les attaques WannaCrypt de Microsoft.
Notez que Windows 10 et Windows Server 2016 ne sont pas affectés par l'attaque WannaCry.
Fiches de renseignement originales
Liste CVE
Liste KB
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com