Skip to main content

Alerte de sécurité Hetzner : pourquoi le BSI signalait notre serveur Windows et comment nous avons corrigé le problème

Récemment, nous avons reçu une notification de l'équipe Abuse de Hetzner relayant un rapport du BSI (Bundesamt für Sicherheit in der Informationstechnik), l'Office fédéral allemand de la sécurité des systèmes d'information.

Le rapport indiquait que notre serveur Windows répondait publiquement à des requêtes NetBIOS sur Internet, ce qui peut être exploité dans certaines attaques DDoS par réflexion.

Que signifie cette alerte ?

Contrairement à ce que l'on pourrait penser, ce type de notification ne signifie pas que le serveur a été compromis ou utilisé dans une attaque.

Le BSI réalise régulièrement des scans de sécurité sur Internet afin d'identifier les services potentiellement vulnérables ou mal configurés. Dans notre cas, le serveur répondait sur plusieurs ports historiquement utilisés par Windows :

  • UDP 137 (NetBIOS Name Service)

  • UDP 138 (NetBIOS Datagram Service)

  • TCP 139 (NetBIOS Session Service)

  • TCP 445 (SMB)

Ces services sont principalement utilisés pour le partage de fichiers et la découverte de machines sur un réseau local. Sur un serveur dédié accessible depuis Internet, ils sont généralement inutiles et peuvent représenter un risque de sécurité.

Diagnostic du serveur

Après vérification, nous avons constaté que le serveur écoutait effectivement sur les ports concernés :

UDP 137
UDP 138
TCP 139
TCP 445

Le service était fourni directement par Windows (PID 4 – System), ce qui indique une configuration par défaut encore active.

Les risques

L'exposition de NetBIOS et SMB sur Internet peut permettre :

  • La collecte d'informations sur la machine.

  • Certaines attaques de réflexion/amplification DDoS.

  • Une augmentation de la surface d'attaque du serveur.

  • L'exploitation d'éventuelles vulnérabilités futures liées à SMB.

Même si aucune compromission n'a été détectée, il est recommandé de fermer ces services lorsqu'ils ne sont pas nécessaires.

Les mesures appliquées

1. Blocage des ports via le pare-feu Windows

Nous avons créé des règles de blocage pour :

  • UDP 137

  • UDP 138

  • TCP 139

  • TCP 445

Ces règles empêchent toute connexion entrante depuis Internet vers les services NetBIOS et SMB.

2. Désactivation de NetBIOS

Après identification de l'interface réseau publique, NetBIOS a été désactivé au niveau du système.

La vérification finale a confirmé :

Hyper-V Virtual Ethernet Adapter  2

La valeur 2 signifie que NetBIOS est désormais totalement désactivé sur l'interface réseau concernée.

Impact sur les services

Aucun impact n'a été constaté sur :

  • Bureau à distance (RDP)

  • IIS et les sites web hébergés

  • FTP

  • Tailscale

  • Hyper-V

Ces services continuent de fonctionner normalement.

Conclusion

Cette alerte du BSI était préventive et ne signalait pas une compromission du serveur. Elle a néanmoins permis d'identifier une configuration Windows inutilement exposée sur Internet.

Après blocage des ports concernés et désactivation de NetBIOS, le serveur est désormais correctement sécurisé contre ce type de détection.

Ce type de notification rappelle l'importance de vérifier régulièrement les services exposés sur Internet et de réduire au maximum la surface d'attaque des serveurs de production.

Back to top