CERTA-2001-ALE-002

Vulnerability from certfr_alerte - Published: - Updated:

Un utilitaire téléchargeable sur un site commercial scanne les ressources partagées des machines connectées à Internet et les publie dans un groupe de discussion (newsgroups).

Description

Netbios est un protocole utilisé essentiellement sur les systèmes Windows. Il permet de partager des ressources (répertoires, imprimantes, etc.). La compatibilité est offerte à d'autres systèmes grâce à des outils comme SAMBA.

NetBios est conçu à l'origine pour s'appuyer sur la couche réseau NetBEUI qui n'est pas routable. Windows permet d'offrir le protocole NetBios sur la couche IP ou IPX. Dès lors, une ressource NetBios sur une machine connectée à Internet est visible du monde entier.

Quelques outils permettent de balayer (scanner) des adresses IP pour découvrir quelles sont les ressources NetBios offertes. Ces outils sont déjà dangereux.

Dans le cas du logiciel ShareSniffer, les résultats de ces scans sont postés automatiquement sur un forum à la fin de chaque session. Les ressources partagées ainsi détectées sont connues par un grand public, et peuvent alors être exploitées facilement.

Le danger lié à la publication de vos ressources est déjà grand. Mais la société ShareSniffer va plus loin en propageant l'idée qu'utiliser les ressources partagées d'ordinateurs mal configurés est légitime.

Il est probable que de nombreux naïfs ou faux naïfs vont se laisser abuser par ce type de discours.

En particulier un répertoire partagé sur vos machines pourrait être exploité pour faire un serveur de fichiers (MP3 par exemple). Les risques inhérents sont une augmentation phénoménale des coûts de connexion et une diminution sensible de la bande passante de votre réseau dues au trafic engendré par cette exploitation de vos ressources (et d'attirer les foudres des ayants droits) et un accroissement sensible du trafic montant.

Solution

  • Bloquer les ports concernant Netbios sur le garde-barrière : 135, 137, 138, 139 TCP et UDP.
  • Mettre à niveau les règles de sécurité sur les fichiers et principalement les ressources partagées :
    • Supprimer les partages non authentifiés ;
    • mettre des mots de passe sur tout partage Windows 9x ;
    • renforcer les mots de passe existants ;
    • resserrer les permissions sur les partages de Windows NT/2000.

Touts les systèmes Windows.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTouts les syst\u00e8mes Windows.\u003c/P\u003e",
  "closed_at": "2001-03-26",
  "content": "## Description\n\nNetbios est un protocole utilis\u00e9 essentiellement sur les syst\u00e8mes\nWindows. Il permet de partager des ressources (r\u00e9pertoires, imprimantes,\netc.). La compatibilit\u00e9 est offerte \u00e0 d\u0027autres syst\u00e8mes gr\u00e2ce \u00e0 des\noutils comme SAMBA.\n\nNetBios est con\u00e7u \u00e0 l\u0027origine pour s\u0027appuyer sur la couche r\u00e9seau\nNetBEUI qui n\u0027est pas routable. Windows permet d\u0027offrir le protocole\nNetBios sur la couche IP ou IPX. D\u00e8s lors, une ressource NetBios sur une\nmachine connect\u00e9e \u00e0 Internet est visible du monde entier.\n\nQuelques outils permettent de balayer (scanner) des adresses IP pour\nd\u00e9couvrir quelles sont les ressources NetBios offertes. Ces outils sont\nd\u00e9j\u00e0 dangereux.\n\nDans le cas du logiciel ShareSniffer, les r\u00e9sultats de ces scans sont\npost\u00e9s automatiquement sur un forum \u00e0 la fin de chaque session. Les\nressources partag\u00e9es ainsi d\u00e9tect\u00e9es sont connues par un grand public,\net peuvent alors \u00eatre exploit\u00e9es facilement.\n\nLe danger li\u00e9 \u00e0 la publication de vos ressources est d\u00e9j\u00e0 grand. Mais la\nsoci\u00e9t\u00e9 ShareSniffer va plus loin en propageant l\u0027id\u00e9e qu\u0027utiliser les\nressources partag\u00e9es d\u0027ordinateurs mal configur\u00e9s est l\u00e9gitime.\n\nIl est probable que de nombreux na\u00effs ou faux na\u00effs vont se laisser\nabuser par ce type de discours.\n\nEn particulier un r\u00e9pertoire partag\u00e9 sur vos machines pourrait \u00eatre\nexploit\u00e9 pour faire un serveur de fichiers (MP3 par exemple). Les\nrisques inh\u00e9rents sont une augmentation ph\u00e9nom\u00e9nale des co\u00fbts de\nconnexion et une diminution sensible de la bande passante de votre\nr\u00e9seau dues au trafic engendr\u00e9 par cette exploitation de vos ressources\n(et d\u0027attirer les foudres des ayants droits) et un accroissement\nsensible du trafic montant.\n\n## Solution\n\n-   Bloquer les ports concernant Netbios sur le garde-barri\u00e8re : 135,\n    137, 138, 139 TCP et UDP.\n-   Mettre \u00e0 niveau les r\u00e8gles de s\u00e9curit\u00e9 sur les fichiers et\n    principalement les ressources partag\u00e9es :\n    -   Supprimer les partages non authentifi\u00e9s ;\n    -   mettre des mots de passe sur tout partage Windows 9x ;\n    -   renforcer les mots de passe existants ;\n    -   resserrer les permissions sur les partages de Windows NT/2000.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2001-ALE-002",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-03-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Publication de la liste des ressources partag\u00e9es de vos r\u00e9seaux"
    },
    {
      "description": "Acc\u00e8s en lecture ou en \u00e9criture \u00e0 vos ressources"
    }
  ],
  "summary": "Un utilitaire t\u00e9l\u00e9chargeable sur un site commercial \u003cspan\nclass=\"textit\"\u003escanne\u003c/span\u003e les ressources partag\u00e9es des machines\nconnect\u00e9es \u00e0 Internet et les publie dans un groupe de discussion (\u003cspan\nclass=\"textit\"\u003enewsgroups\u003c/span\u003e).\n",
  "title": "Risque d\u0027exploitation des ressources partag\u00e9es sous Windows",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.