Windows. : Stop Code 0x50 srv.sys causé par l’exploit EternalBlue

Microsoft a publié un bulletin de sécurité concernant SMBv1.0. La plus grave des vulnérabilités pourrait permettre l’exécution de code à distance si un attaquant envoie des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0 (SMBv1).

Vous pouvez identifier que ce problème se produit en analysant la pile sur le vidage mémoire et en recherchant ces lignes spécifiques :
 

ffffd001`078b0700 fffff801`71252360 nt!KiPageFault+0x12f
ffffd001`078b0890 fffff801`712522a5 srv!SrvOs2FeaToNt+0x48
ffffd001`078b08c0 fffff801`7127369b srv!SrvOs2FeaListToNt+0x125
ffffd001`078b0910 fffff801`7127c8ba srv!SrvSmbOpen2+0xc3
ffffd001`078b09b0 fffff801`7127fb2e srv!ExecuteTransaction+0x2ca
ffffd001`078b09f0 fffff801`7120d84f srv!SrvSmbTransactionSecondary+0x40b
ffffd001`078b0a90 fffff801`7120da20 srv!SrvProcessSmb+0x237
ffffd001`078b0b10 fffff801`7124cac8 srv!SrvRestartReceive+0x114
ffffd001`078b0b50 fffff800`13591306 srv!WorkerThread+0x5248
ffffd001`078b0bd0 fffff800`1317f280 nt!IopThreadStart+0x26
ffffd001`078b0c00 fffff800`131d89c6 nt!PspSystemThreadStartup+0x58
ffffd001`078b0c60 00000000`00000000 nt!KiStartSystemThread+0x16 

Systèmes concernés :
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows 7
Windows 8
Windows 8.1
Windows 10
 

.

Microsoft a publié un billet de blog sur SMB1 expliquant qu’il est obsolète et ne doit pas être utilisé sur les dernières versions du système d’exploitation.

Étant donné que ce problème est causé par un exploit, il est nécessaire d’exécuter un programme antivirus sur le système concerné.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles dans votre situation :

• Désactiver SMBv1

  Pour les clients exécutant Windows Vista et versions ultérieures

  Consultez l’article 2696547 de la base de connaissances Microsoft.

  Autre méthode pour les clients exécutant Windows 8.1 ou Windows Server 2012 R2 et versions ultérieures

  Pour les systèmes d’exploitation clients :

  1. Ouvrez le Panneau de configuration, cliquez sur Programmes, puis cliquez sur Activer ou désactiver les fonctionnalités Windows.
  2. Dans la fenêtre Fonctionnalités Windows, décochez la case Prise en charge du partage de fichiers SMB1.0/CIFS, puis cliquez sur OK pour fermer la fenêtre.
  3. Redémarrez le système.
      

  Pour les systèmes d’exploitation de serveur :

  1. Ouvrez Server Manager, puis cliquez sur le menu Gérer et sélectionnez Supprimer les rôles et fonctionnalités.
  2. Dans la fenêtre Fonctionnalités, décochez la case Prise en charge du partage de fichiers SMB1.0/CIFS, puis cliquez sur OK pour fermer la fenêtre.
  3. Redémarrez le système.
      

  Impact de la solution de contournement. Le protocole SMBv1 est désactivé sur le système cible.
  SMBv1.0 prend en charge les systèmes hérités (Windows XP, Windows Vista, Windows 2000, Windows 2003, Windows 2003 R2).

  Procédure d’annulation de la solution de contournement. Retracez les étapes de contournement et cochez la case Prise en charge du partage de fichiers SMB1.0/CIFS pour restaurer la fonctionnalité Prise en charge du partage de fichiers SMB1.0/CIFS à un état actif.