Attaques du port TCP 445 sur Windows
Date : 23 Juin 2005
Depuis Windows 2000, le port 445 (TCP et UDP) est utilisé par Windows pour le service SMB (service de partage de fichier, également appelé CIFS par Microsoft). Sous Windows NT, ce service SMB était uniquement accessible sur les ports Netbios classiques (ports 137 à 139).
On observe actuellement un nombre croissant de tentatives d'attaques sur ce port. Par exemple, le ver "Lioten" (CERT-IST/AV-2002.431), qui s'est propagé en décembre 2002, visait ce port.
Les vulnérabilités exploitées contre ce port restent très classiques. Il s'agit typiquement de :
- Recherche de disques partagés non protégés,
- Etablissement de connexions nulles (attaque dite "red button"), pour obtenir des informations sur la machine visée (par exemple la liste des comptes valides),
- Attaque des comptes identifiés en essayant des mots de passe triviaux.
- Ou même l'exploitation de vulnérabilités sur ce service (comme par exemple le débordement de pile décrit dans l'avis CERT-IST/ AV- 2002.291)
La plupart de ces attaques sont triviales (connues depuis longtemps), mais elles restent apparemment très efficaces, si l'on en juge par le nombre d'intrusions de ce type rapportées. Il faut dire que les configurations par défaut restent beaucoup trop faibles par rapport à ce type de vulnérabilité :
- Les installations standards de Windows NT, 2000 et XP autorisent les connexions nulles,
- Il existe un bug dans la gestion du "time-out" sur les connexions au port 445 qui autorisent un nombre d'essai de connexion par seconde largement plus important sur ce port que sur le port 139 conventionnel,
- Le port 445 n'est pas forcement aussi connu que les ports 135,137-139 conventionnels, et peut ne pas être filtré à l'entrée de certains réseaux.
Les recommandations pour y faire face restent donc elles aussi on ne peut plus classiques :
- Bloquer les ports 135, 137-139 et 445 en bordure des réseaux
- Interdire les connexions nulles en positionnant la clef de registre, ou l'option de la politique de sécurité appropriées (cf. l'URL donné en fin d'article).
- Utiliser des politiques de sécurité empêchant les mots de passe triviaux, et vérifier régulièrement la complexité des mots de passe.
Pour plus d'information
- Description du protocole CIFS : http://www.codefx.com/CIFS_Explained.pdf
- Anomalies du "time-out" sur Windows 2000/XP : http://www.cqure.net/tools.jsp?id=01
- Empêcher les connexions nulles : http://www.brown.edu/Facilities/CIS/CIRT/help/netbiosnull.html