Arrêtez d’utiliser SMB v1.0 !
"STOP USING SMB1!" : C'est le message que l'on peut lire sur l'article du même nom publié il y a quelques jours sur le blog officiel Windows Server Storage des ingénieurs de Microsoft. Et pour cause, la première version du protocole SMB vieille de plusieurs dizaines d'années n'est pas sécurisée du tout...
D'ailleurs, la semaine dernière un nouveau correctif de sécurité est arrivé sur les serveurs de mises à jour Microsoft pour corriger une vulnérabilité liée à SMB v1.0, cette dernière permet l'exécution de code à distance et les attaques par déni de service. Son petit nom c'est "MS16-114".
SMB v1.0, c'est la version utilisée par l'ancêtre Windows XP, Windows 2000 ou encore Windows Server 2003. Depuis le protocole ne cesse de progresser au fil des versions de Windows et il voit sa sécurité renforcée.
SMB v1.0 n'est pas sûr !
Il n'inclus pas les protections contre les attaques notamment Man-in-the-Middle qu'intègre les versions plus récentes : 3.0, 3.0.2 et 3.1.1. La signature des messages est également améliorée (tant niveau sécurité que performance) puisque l'on est passé du MD5 au HMAC SHA-256 depuis la version 2.02, et plus récemment à l'AES-CMAC à partir de SMB 3.0+.
SMB v1.0 est old school !
Cette version a fait son temps... Elle n'intègre pas toutes les optimisations pour améliorer les performances et la productivité, comme par exemple la gestion du cache via BranchCache, le support de MTU plus large, le SMB Direct ou encore le Multichannel.
SMB v1.0 peut-il encore être utile ?
Comme le rappel les ingénieurs de Microsoft dans l'article, il peut - malheureusement - y avoir encore des cas d'utilisation du protocole SMB en version v1.0 :
- Vous utilisez toujours Windows XP ou Windows Server 2003
- Vous utilisez un logiciel qui s'appuie sur la découverte du voisinage réseau avec les droits d'admin
- Vous utilisez une imprimante qui utilise "un firmware antique" (pour les citer)
L'article nous apprend également que les partenaires de Microsoft en matière de stockage et imprimantes affirment supporter au minimum SMB v2.0 sur leurs équipements. Ouf.
Comment retirer le support de SMB v1.0 sur mes serveurs ?
Sur Windows Server 2012 R2, le support de SMB v1.0 est actif par défaut. Si vous êtes motivé pour que vos serveurs arrêtent de discuter avec les clients en SMB v1.0, vous pouvez désinstaller la fonctionnalité "Support de partage de fichiers SMB 1.0/CIFS" directement par le gestionnaire de serveur.
Sinon en PowerShell ce sera plus rapide avec la commande suivante :
- Sous Windows Server :
Remove-WindowsFeature FS-SMB1
- Sous Windows "Client" :
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Alors, que pensez-vous de tout ça ? Quelle est votre décision par rapport à SMB v1.0 ?
Il est à noter que Windows 10 et Windows Server 2016 utilisent la version SMB 3.1.1 qui est la dernière en date.
Article original : STOP USING SMB1
Je pense surtout que si Microsoft avait un tant soit peu le désir que nous arrêtions tous d’utiliser SMB 1.0, il aurait implémenter une version supérieur sur Windows XP et Windows Server 2003. Et surtout il n’activerai pas par défaut SMB 1 sur un windows Serer 2012.
Bref, faite ce que je dis mais pas ce je fait comme d’hab avec MS.