Le protocole Microsoft Server Message Block (SMB ) est principalement utilisé pour le partage de fichiers sur le réseau local et l'accès aux services à distance dans de nombreuses entreprises qui utilisent des PC Windows dans leur environnement. Le protocole SMB est également un très bon exemple de solution facile pour les attaquants, car il est utilisé par de nombreux services et a une longue histoire de configurations non sécurisées ou de bogues d'implémentation. Pour les acteurs de la menace, cela signifie qu'ils peuvent assez facilement accéder à un serveur utilisant le protocole SMB et ensuite pivoter à partir de ce serveur vers d'autres services et applications au sein de l'entreprise.
Étant donné que de nombreuses organisations utilisent encore le protocole SMB, de nouveaux exploits, menaces et brèches liés à ce protocole sont régulièrement publiés. MalwareBytes Labs a indiqué qu'à la fin de l'année dernière, deux attaques de logiciels malveillants bien connues, Emotet et Trickbot, étaient liées à des vulnérabilités SMB. Vous vous souvenez de WannaCry et de ses nombreux acolytes EternalBlue et EternalX ? Ils étaient également liés à une vulnérabilité SMB, selon nos amis de MalwareBytes. Lorsque les attaquants accèdent aux serveurs SMB, ils utilisent une fonctionnalité de type ver dans les deux attaques de logiciels malveillants pour se propager lentement au sein de l'organisation.
Quoi de neuf sur Censys?
Nous avons récemment ajouté des quantités massives de nouvelles données d'analyse Internet sur les ports SMB, notamment :
Types d'authentification
Drapeaux de capacité SMB :
- Cryptage
- Système de fichiers distribués
- Opérations multi-crédits
- Sessions multicanaux
- Poignées persistantes
- Leasing / Directory Leasing
Nom de la cible de l'hôte trouvé dans les messages SMB
Pour les adeptes du pentesting et de la chasse aux menaces, cela signifie que vous pouvez désormais suivre plus facilement les hôtes vulnérables aux attaques de logiciels malveillants Windows comme WannaCry et EternalBlue, et analyser ces données plus approfondies sur chaque hôte affecté.
Trouver le protocole SMB dans Censys
La façon la plus simple de commencer à utiliser notre nouveau rapport sur les PME dans Censys est de rechercher le tag PME :
https://censys.io/ipv4?q=tags%3Asmb
Toutes les données SMB supplémentaires que nous avons ajoutées dans cette mise à jour sont désormais incluses dans la balise SMB existante.
Sécuriser les PME
Même si nous avons l'air d'un disque rayé, il est essentiel pour nos lecteurs spécialisés dans la sécurité des entreprises de s'assurer que tous les services pour PME qu'ils utilisent sont corrigés et mis à jour.
Il convient également de vérifier qui a accès à ces hôtes et si certains utilisateurs ont plus d'accès qu'ils n'en ont besoin.
Microsoft dispose d'un éventail étourdissant d'options de sécurité qui peuvent vous permettre de verrouiller votre système, mais c'est compliqué. Cette documentation peut être un bon point de départ, de même que l'outil Microsoft Security Baseline Tool. Veillez à ce que ces hôtes soient bien configurés et sécurisés, en particulier lorsqu'ils sont accessibles par l'internet.
Abonnez-vous pour recevoir des mises à jour de produits, des informations intéressantes sur la recherche et bien plus encore, directement dans votre boîte de réception. N'oubliez pas non plus de nous suivre sur Twitter.
