Le principe de SMBRelay est de s’intercaler entre une machine cliente et un serveur Windows. Le programme s’approprie la session réseau de la machine cliente et la déconnecte du domaine pour prendre sa place. Le hacker s’approprie ainsi tous les droits d’accès au serveur et aux services réseau (imprimantes, ports…), attribués à la machine cliente dont il a dérobé la connexion.Interrogé par le quotidien anglais en ligne The Register, l’auteur de l’application estime que “la faille de sécurité exploitée est connue depuis longtemps. Il ne s’agit pas d’un bug mais d’une erreur de conception du protocole SMB [Server Message Block Protocol] “.Avant de conclure : ” Le problème est que Microsoft tient à garder une compatibilité avec ses anciens produits pour des raisons de marketing. Mais, en continuant à utiliser des protocoles dont les failles sont connues, il met en danger ses clients. “Si la faille est connue, elle n’est pas pour autant anecdotique. En effet, SMB permet à des postes client d’accéder aux services réseau d’un domaine, en utilisant les protocoles TCP/IP, Internetwork Packet Exchange et NetBEUI pour transporter les requêtes. Cette prise en main peut donc intervenir à partir de n’importe quel applicatif utilisant Internet ou un réseau local.La protection la plus efficace contre cette attaque est de simplement bloquer le port 139 ?” attribué aux sessions NetBios ?” utilisé par SMBRelay.Microsoft propose une version de son protocole SMB au code source ouvert. Baptisée Common Internet File System (CIFS), celle-ci a été soumise pour approbation auprès de l’Internet Engineering Task Force. L’objectif est de permettre l’accès à des fichiers pendant la navigation, indépendamment du protocole FTP.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
