La faiblesse identifiée sous la référence smb:::*:signing:* concerne l’absence ou la non-obligation de la signature SMB sur le service SMB (port 445) utilisé par des systèmes Microsoft Windows 7 à Windows 10. La signature SMB permet de garantir l’intégrité et l’authenticité des communications entre les clients et les serveurs SMB.
Le niveau de risque réel est modéré, car l’absence de signature SMB peut permettre, dans certains scénarios réseau spécifiques, des attaques de type Man-In-The-Middle, telles que l’altération ou l’injection de messages SMB, voire la relecture de sessions. Cette faiblesse ne permet pas une compromission directe depuis Internet, mais peut être exploitée au sein d’un réseau interne ou d’un environnement mal segmenté.
Cette alerte apparaît lorsque la configuration SMB n’impose pas la signature pour les connexions entrantes et sortantes. Par défaut, certains systèmes Windows acceptent la signature sans l’exiger, afin de conserver une compatibilité avec d’anciens équipements. Cette configuration est aujourd’hui non conforme aux bonnes pratiques de sécurité.
Les bonnes pratiques recommandées consistent à activer et imposer la signature SMB sur les systèmes concernés, à désactiver les versions obsolètes du protocole SMB (notamment SMBv1), et à restreindre l’exposition du port 445 aux seuls réseaux et hôtes nécessaires. Il est également recommandé de maintenir les systèmes Windows à jour et de segmenter le réseau afin de limiter les risques d’exploitation interne.
La mise en œuvre de ces bonnes pratiques permet de supprimer cette faiblesse, de renforcer la sécurité des échanges SMB, et d’améliorer la posture de sécurité globale du réseau, sans impact fonctionnel pour les usages standards.