Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

La saga NetBIOS

Date :27 Juillet 2005

Publication: Article

La saga NetBIOS

Ce mois-ci, NetBIOS a été également à la page à travers divers débats qui nous vous reportons ci-dessous

1. Le cache NetBIOS

Le système NetBIOS (Network Basic Input/Output System) a été créé pour définir des interfaces de programmation réseau et une convention de nommage. Il est aujourd’hui couramment utilisé par les systèmes de Microsoft (accès à des ressources partagées, et comme support pour le processus d'authentification (processus NetLogon).

Pour localiser une ressource NetBIOS (résoudre son nom NetBIOS en une adresse IP), les systèmes Microsoft utilisent les méthodes ci-dessous (par ordre de préférence) :

1 - Le cache NetBIOS local,

2 - le serveur de noms NetBIOS (Wins),

3 - des requêtes en broadcast sur le sous-réseau IP,

4 - le fichier LMHOSTS,

5 - le fichier HOSTS,

6 - les serveurs DNS.

Un des principales faiblesses de NetBIOS réside dans le fait que les requêtes NetBIOS ne sont pas authentifiées.

Ainsi, il est possible à un utilisateur distant (un hacker par exemple) de corrompre le cache NetBIOS d'un système, utilisé en premier lors de la résolution de noms NetBIOS, afin de détourner une ou plusieurs correspondances nom NetBIOS/adresses IP qu'il contient vers d'autres adresses IP. Dès lors, tout le trafic NetBIOS à destination des machines détournées sera redirigé vers celles du "hacker".

Exemples d’exploitation :

  • Détournement du trafic SMB (Server Message Block) utilisé dans le partages des ressources :
    Cela peut ètre accompli par la mise en place de faux partages sur la machine " leurre " identiques à ceux de la machine détournée (ceci afin de récupérer les éléments de connexions de l'utilisateur ou de lui faire télécharger des chevaux de Troie sur sa machine),
  • Possibilité d’usurpation des fonctionnalités du contrôleur de domaine (en prenant des précautions bien particulières dues à l’existence d’un contrôleur de domaine déjà existant) et des privilèges qu’il ouvre,
    Nota : cette possibilité reste à l’heure actuelle à l’état d’hypothèse et n’a pas été vérifiée.
  • ...

Les exploitations décrites ci-dessus ne sont pour l'instant que théoriques et aucun programme n'a été publié sur Internet. Elles restent également dépendantes d'une connaissance assez poussée du réseau interne de l'entreprise.

Microsoft ne propose pas de correctif du fait de la nature de NetBIOS qui ne supporte pas de mécanisme d'authentification.

Cependant pour diminuer le risques plusieurs solutions temporaires peuvent être mises en place :

1 - Filtrer les ports TCP/UDP utilisés par NetBIOS (135 à 139) et le port 445 en bordure des réseaux locaux.

2 - Désactiver le client Wins qui supporte l'interface NetBIOS et les services "Serveur" et "Station de Travail" (cette solution peut être sujette à des effets de bords indésirables comme plus d'accès aux partages et imprimantes partagées, plus de possibilité de logon dans une domaine, ...). Ceci est difficilement recommandable dans des environnements bureautiques.

4 - A partir du Service Pack 3, Microsoft fournit un mécanisme d'authentification et de signatures de requêtes SMB pour Windows NT empêchant les attaques par machines interposées (man in the middle). Cependant, ce mécanisme n'est pas activé par défaut. Pour plus de renseignements sur la mise en place de cette fonctionnalité voir : http://www.microsoft.com/technet/support/kb.asp?ID=161372
Cette solution n'empêche pas l'usurpation d'identité de la part du serveur (pas de notion de certificat de confiance de type X.509), ni les attaques type "man in the middle" visant juste à écouter le traffic (et donc sans modification des paquets, ni de la signature).

Documentation supplémentaire :

-Avis de NAI : http://www.pgp.com/research/covert/advisories/045.asp

 

2. Scan des ports NetBIOS

Avec l’essor des nouvelles technologies en matière de télécommunication, aujourd’hui de plus en plus de particuliers sont connectées à Internet de manière continue par le biais de liaisons xDLS (ADSL -Asymetric Digital Subscriber Line -, …), câblées voire RNIS.

Ce type de connexion ouvre également la porte à une multitude d’attaques vu la faible sécurité qui réside sur les postes des particuliers. Ainsi, de manière générale la sécurité des particuliers repose essentiellement sur celle mise en place par leur fournisseurs d’accès (ISP).

Il a été remarqué dans la communauté du FIRST des multitudes de scan concernant les ports NetBIOS (137 à 139) sur des machines de particuliers utilisant des connexions de type xDSL, cablées et RNIS.

S’appuyant sur le fait que les machines des particuliers ne sont pas configurées la plupart du temps de manière sécurisée, les partages réseaux peuvent alors être plus ou moins accessibles depuis Internet.

De plus l’apparition d’un nouveau cheval de Troie Qaz (CERT-IST/AV-2000.203) qui permet de prendre le contrôle d’un système Windows peut confirmer cette tendance car il est à noter que ce cheval de Troie se propage à travers les partages réseaux qu’il trouve sur le réseau local.