Skip to content
PortsDB

Référence des ports

Port 139 (TCP) – Service de session NetBIOS

Service de session NetBIOS — transport hérité du partage de fichiers et d'imprimantes SMB sur NetBIOS.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les hôtes Windows avec NetBIOS over TCP/IP activé. Largement supplanté par SMB direct sur 445 mais encore présent sur les systèmes hérités.

Attaques courantes

  • Énumération par null session des utilisateurs, partages et politiques
  • Relais SMB et capture d'identifiants
  • Exploitation EternalBlue / MS17-010 contre SMBv1
  • Mouvement latéral de ransomware via les partages de fichiers

CVE-2017-0144

Durcissement

  • Désactiver entièrement SMBv1
  • Désactiver NetBIOS over TCP/IP et préférer SMB sur 445 avec signature
  • Bloquer les null sessions (restreindre l'accès anonyme)
  • Imposer la signature SMB pour contrer le relais
  • Bloquer TCP 139 à la frontière réseau

Commande nmap

nmap -p139 --script smb-os-discovery,smb-enum-shares <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui tourne sur le port 139

Le port 139 héberge le service de session NetBIOS, le transport hérité qui véhicule le partage de fichiers et d'imprimantes SMB (Server Message Block) sur NetBIOS. Avant que Windows 2000 n'introduise SMB direct sur le port 445, tout le partage de fichiers Windows passait par le 139. Il reste ouvert sur les hôtes ayant encore NetBIOS over TCP/IP activé et est souvent associé au service de noms NetBIOS sur UDP 137.

Pourquoi c'est important pour la sécurité

Le port 139 expose la même surface d'attaque SMB que le 445, mais liée à des valeurs par défaut plus anciennes et plus faibles. Le SMBv1 hérité portait la vulnérabilité EternalBlue (MS17-010 / CVE-2017-0144) exploitée par WannaCry et NotPetya. Le service permettait aussi historiquement les null sessions — des connexions non authentifiées qui énumèrent utilisateurs, groupes, partages et politique de mots de passe — offrant aux attaquants une carte détaillée du domaine avant tout identifiant.

Comment c'est attaqué

Les attaquants lancent une énumération par null session pour récolter utilisateurs, partages et politiques, puis cassent les comptes découverts ou relaient l'authentification NTLM capturée vers d'autres hôtes. Contre les systèmes SMBv1 non corrigés, EternalBlue (MS17-010) permet l'exécution de code à distance sans identifiants, et le ransomware se propage ensuite latéralement à travers les partages de fichiers accessibles.

Liste de durcissement

Désactivez SMBv1 partout — il n'a aucun usage sûr aujourd'hui. Désactivez NetBIOS over TCP/IP et consolidez sur SMB via le 445 avec signature imposée. Restreignez l'accès anonyme pour supprimer les null sessions, imposez la signature SMB pour contrer le relais, et bloquez TCP 139 aux frontières réseau. Corrigez MS17-010 immédiatement sur tout hôte hérité restant. Les scripts nmap ci-dessus énumèrent l'OS et les partages sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 137Port 445Port 135Port 138Port 88

Questions fréquentes

Quelle est la différence entre le port 139 et le port 445 ?
Le port 139 transporte SMB via le service de session NetBIOS hérité, tandis que le 445 transporte SMB directement sur TCP. Windows moderne préfère le 445 ; le 139 persiste pour la rétrocompatibilité.
Le port 139 est-il un risque de sécurité ?
Oui. Il active SMBv1 hérité, l'énumération par null session et le relais d'identifiants, et il a été un vecteur des vers basés sur EternalBlue comme WannaCry.