Maksim Kabakou - Fotolia
SMBv1 : vulnérable, mais encore requis par de nombreux produits
Les vulnérabilités connues de ce protocole ont notamment été mises à profit par WannaCry pour sa distribution. Las, il reste impossible d’y renoncer complètement. Des équipes de Microsoft montrent pourquoi.
Le rançongiciel WannaCry a profité, pour sa propagation, d’une vulnérabilité du protocole SMBv1, théoriquement destiné au partage de ressources au sein du réseau local mais, hélas, trop souvent exposé sur Internet. Beaucoup, à l’occasion de la campagne de ce ransomware, ont recommandé de désactiver le support de SMBv1 sur les machines sous Windows. Mais c’est plus facile à dire qu’à effectivement réaliser.
De fait, de nombreux équipements sont susceptibles de requérir que le support de SMBv1 soit activé pour être utilisables. Ned Pyle, responsable de programme au sein du groupe stockage et haute disponibilité Windows Server chez Microsoft, a décidé d’en établir une liste aussi complète que possible. Et elle est impressionnante.
On y trouve ainsi les imprimantes Canon, pour certaines fonctions, de même que des systèmes d’impression multifonctions de Ricoh, mais aussi des produits signés Cisco, F5 Networks, IBM, McAfee, NetApp, Qnap, Sophos, Synology, Trinti, ou encore VMware. Le tout liens à l’appui vers les références étayant le propos.
Ned Pyle souligne justement que cette liste se limite aux produits pour lesquels une référence explicite est disponible. Las, « certains fournisseurs ne publient pas leur besoin de SMBv1, et c’est à vous clients, de les pousser à publier cette information ». Une façon de faire pression sur les éditeurs et constructeurs utilisant encore ce protocole obsolète et à l’abandon duquel appelait déjà Ned Pyle au mois de septembre dernier.
Mais la liste compilée peut avoir d’autres vertus : alerter les entreprises d’un risque à adresser en misant sur les configurations réseau dans l’attente de mises à jour de la part de leurs fournisseurs. Au tout début de l’épisode WannaCry, certains n’avaient pas manqué d’ironiser des configuration réseau ayant mécaniquement augmenté l’exposition de nombreux systèmes.
Y'all should probably google network segmentation, IT departments. #WannaCry pic.twitter.com/DFRhoCqfii
— Kevin Beaumont (@GossiTheDog) May 13, 2017