|
La découverte que les ports 135 et 137 sont ouverts sur un système cible suggère fortement la présence de Microsoft Windows services et indique potentiellement des vulnérabilités. Décomposons ce que signifient ces ports :
* Port 135 (mappeur de point de terminaison RPC) : Il s'agit du port principal du service RPC (Remote Procedure Call) sous Windows. RPC est un mécanisme permettant aux applications de différents ordinateurs de communiquer entre elles. Un port 135 ouvert signifie que le système accepte les requêtes RPC, exposant potentiellement de nombreux services en fonction des autres services en cours d'exécution et configurés pour utiliser RPC. Il s'agit d'un problème de sécurité important car les attaquants peuvent l'utiliser pour énumérer d'autres services ouverts et potentiellement exploiter les vulnérabilités de ces services.
* Port 137 (service de noms NetBIOS) : Ce port est utilisé par le service de noms NetBIOS, également principalement associé à Windows. NetBIOS est un protocole réseau utilisé pour résoudre les noms d'ordinateurs en adresses IP sur un réseau local. Bien qu'elle ne représente pas en soi un risque de sécurité énorme, sa présence signifie souvent un système Windows et aide les attaquants à confirmer leur cible. De plus, il peut être utilisé conjointement avec d’autres outils pour recueillir des informations supplémentaires sur le réseau.
Implications pour un attaquant :
Trouver ces ports ouverts permet à un attaquant de :
* Énumérer les services : Utilisez des outils tels que « rpcinfo » (sur les systèmes Linux/Unix) ou d'autres outils d'énumération RPC pour découvrir d'autres services exécutés sur le système qui utilisent RPC. Cela pourrait exposer des services présentant des vulnérabilités connues.
* Lancer des attaques contre des services spécifiques : Une fois que d'autres services sont identifiés, l'attaquant peut rechercher et exploiter les vulnérabilités connues au sein de ces services (par exemple, les vulnérabilités dans des applications spécifiques basées sur RPC comme Samba, si elles s'exécutent sur un système non Windows).
* Obtenir des informations sur le réseau : Le port 137 peut être utilisé conjointement avec d'autres outils pour cartographier le réseau et identifier d'autres appareils.
* Effectuer des reconnaissances supplémentaires : Cette première découverte aide l’attaquant à affiner sa stratégie d’attaque.
Atténuation :
Les administrateurs système doivent :
* Désactiver les services inutiles : Exécutez uniquement les services nécessaires au fonctionnement du système.
* Garder les systèmes à jour : Appliquez régulièrement des mises à jour de sécurité pour corriger les vulnérabilités connues dans RPC et d'autres services.
* Restreindre l'accès au réseau : Utilisez des pare-feu pour limiter l'accès aux ports 135 et 137 à partir de réseaux non fiables.
* Mettre en œuvre des systèmes de détection/prévention des intrusions (IDS/IPS) : Ceux-ci peuvent détecter et bloquer les activités malveillantes ciblant ces ports.
* Principe du moindre privilège : Exécutez les services avec les autorisations minimales nécessaires.
En bref, la découverte des ports 135 et 137 ouverts est un signal d’alarme de sécurité important et doit faire l’objet d’une enquête et d’une solution immédiate. Cela augmente considérablement le risque de réussite d’une attaque.
|
