Sécuriser les services Windows SMB et NetBios/NetBT

Qu'est-ce que le service SMB de Windows ?

Le protocole SMB (Server Message Block) est un protocole de partage de fichiers réseau qui s'exécute sur le port 445. Il est implémenté dans Microsoft Windows Serveur sous le nom de service Microsoft SMB. Le service Microsoft SMB est installé par défaut dans Microsoft Windows Serveur. Le protocole SMBv2 a été introduit dans Windows Vista et Windows Server 2008, mais SMBv1 existe encore sur les systèmes d'exploitation qui supportent SMBv2. Le protocole SMBv3 a été introduit dans Windows 8 et Windows Server 2012 avec une fonction de chiffrement SMB, mais il n'est pas configuré par défaut.


Qu'est-ce que le service NetBios/NetBT de Windows ?

NetBIOS était un protocole renommé co-développé par IBM et Sytek pour la mise en réseau des ordinateurs dans les années 80. L'implémentation par Microsoft de NetBIOS over TCP/IP (NetBT) fournit une interface de communication NetBIOS par-dessus le protocole TCP/IP, étendant la portée des programmes client/serveur NetBIOS aux réseaux TCP/IP et fournissant une interopérabilité avec d'autres systèmes d'exploitation.

Il utilise les ports TCP et UDP suivants:
 - port UDP 137 (name services)
 - port UDP 138 (datagram services)
 - port TCP 139 (session services)

NetBIOS over TCP/IP (NBT) est installé et activé par défaut pour permettre une rétrocompatibilité avec d'anciens systèmes (ou implémentations de SMB); Toutefois, le service Microsoft SMB peut être utilisé sans la présence de Microsoft NetBIOS/NetBT.


Vulnérabilités:

Étant donné que les services Microsoft SMB et NetBios/NetBT sont activés par défaut, des personnes malveillantes peuvent interroger ces services pour collecter des informations sur le serveur ou exploiter des failles lorsqu'elles existent.
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Le service NetBios/NetBT peut également être exploité pour effectuer des attaques par amplification:
https://www.us-cert.gov/ncas/alerts/TA14-017A


Comment vérifier si votre serveur/périphérique est vulnérable ?

Utilisez la commande suivante pour collecter les informations sur votre système via le service SMB:

# nmap --script smb-os-discovery.nse -p445 <IP-du-serveur>

Example de résutat:

PORT    STATE SERVICE
445/tcp open  microsoft-ds

Host script results:
| smb-os-discovery:
|   OS: Windows Server xxxx
|   OS CPE: cpe:/o:microsoft:windows_server_xxxx::-
|   Computer name: xx-xxxxxxxxxxxx
|   NetBIOS computer name: xx-xxxxxxxxxxxx
|   Workgroup: WorkGroup
|_  System time: xxxx-xx-xx


Utilisez la commande suivante pour collecter les informations sur votre système via le service NetBios/NetBT:

À partir de machines Windows (cmd):
# nbtstat -A <IP-du-serveur>

À partir de machines Linux (terminal):
# nmblookup -S -R -A <IP-du-serveur>

Example de résutat:
[...]
Looking up status of <IP-du-serveur>
    XX-XXXXXXXXXXXX <00> -         B <ACTIVE>
    WORKGROUP       <00> - <GROUP> B <ACTIVE>
    XX-XXXXXXXXXXXX <20> -         B <ACTIVE>
    MAC Address = XX-XX-XX-XX-XX-XX


Si les commandes renvoient un message de "time-out", les services peuvent être déjà filtrés/désactivés.
Des services de cartographie de l'Internet (tels que www.shodan.io) peuvent également être utilisés pour rechercher des informations fournies par les services disponibles publiquement sur votre IP (par exemple "SMB Version: 1").

Résolution:

Les services Microsoft SMB et Microsoft NetBios/NetBT sont conçus pour être accédés par des clients de confiance dans des environnements de confiance. Cela signifie que ce n'est généralement pas une bonne idée d'exposer ces services directement sur Internet ou, de façon générale, sur un environnement où des clients non-approuvés peuvent accéder directement à ces services.

Différentes options sont disponibles pour résoudre ce problème et protéger votre serveur/périphérique:

- Désactivez les services Microsoft NetBios/NetBT et Microsoft SMB si vous ne les utilisez pas. C'est la solution la plus simple et la plus efficace.
- Utilisez votre pare-feu pour filtrer les connexions entrantes aux services SMB et NetBios/NetBT, et n'autorisez que les IP ou les hôtes approuvés.

En complément des suggestions ci-dessus, vous devriez installer les mises à jour de sécurité du système d'exploitation dès que possible et vous assurez que SMBv1 n'est pas utilisé.

Références externes :

https://msdn.microsoft.com/en-us/library/windows/desktop/aa365233(v=vs.85).aspx
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server
https://support.microsoft.com/en-us/help/2709568/new-smb-3.0-features-in-the-windows-server-2012-file-server
https://technet.microsoft.com/en-us/library/dn551363(v=ws.11).aspx
https://technet.microsoft.com/en-us/library/cc940063.aspx
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://www.shadowserver.org/wiki/pmwiki.php/Services/Accessible-SMB

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk