Le risqué ? L’exécution de code à distance, sans authentification ni privilèges. En première ligne, le protocole SMB, vecteur de transport de nombreuses interfaces RPC.
On appliquera en priorité le correctif aux systèmes les plus critiques. Notamment les contrôleurs de domaines Active Directory. À défaut, on procédera préférentiellement à la déconnexion des systèmes affectés du réseau. Sinon, au filtrage de plusieurs ports réseau en entrée :
– TCP/139 (SMB sur NetBIOS)
– TCP/445 (SMB sur TCP ; implémenté depuis Windows 2000)
– UDP/135 et TCP/135 (communication RPC)
– La plage de ports dynamique utilisée par l’écosystème RPC (par défaut, sur les terminaux sans port d’écoute défini, les ports 1024 à 5000 sont connus)
Le port 445 fait traditionnellement partie des plus scannés en vue d’attaques. Témoin une expérimentation que Palo Alto Networks a mené l’an dernier. Il a évolué les ports 23 (Telnet) et 22 (SSH).
On se rappellera que le tristement célèbre WannaCry exploitait lui aussi SMB, par l’intermédiaire d’un kit d’exploitation exfiltré de la NSA. Bien des malwares s’étaient ensuite engouffrés dans la brèche, en réutilisant parfois le même kit. Le cryptomineur Adylkuzz en était. Comme EternalRocks, qui pouvait exploiter au moins 7 failles SMB. Ou Bad Rabbit, inspiré quant à lui de Petya.
Deux autres vulnérabilités RPC ont fait l’objet d’une correction à l’occasion du Patch Tuesday d’avril 2022. L’une et l’autre sont jugées « importantes » ; avec là aussi, comme conséquence potentielle, l’exécution de code à distance.
Photo d’illustration © thodonal – Adobe Stock