Skip to content
PortsDB

Référence des ports

Port 445 (TCP) – SMB / CIFS

Server Message Block — partage de fichiers/imprimantes Windows et principal canal de mouvement latéral dans AD.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur la quasi-totalité des hôtes Windows et des contrôleurs de domaine. Fréquemment et dangereusement exposé à Internet.

Attaques courantes

  • RCE pré-auth EternalBlue / MS17-010 (CVE-2017-0144)
  • Relais SMB (relais NTLM vers SMB/LDAP)
  • Énumération par null session et de partages
  • Mouvement latéral et chiffrement de ransomware via les partages

CVE-2017-0144CVE-2020-0796

Durcissement

  • Désactiver SMBv1 ; exiger SMBv3 avec chiffrement
  • Imposer la signature SMB pour contrer les attaques de relais
  • Ne jamais exposer le port 445 à Internet
  • Restreindre l'accès anonyme/null et appliquer des ACL de partage au moindre privilège
  • Corriger rapidement MS17-010 et SMBGhost (CVE-2020-0796)

Commande nmap

nmap -p445 --script smb-vuln-ms17-010,smb-enum-shares,smb-os-discovery <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui tourne sur le port 445

Le port 445 est le foyer moderne de SMB (Server Message Block), aussi connu sous le nom de CIFS — le protocole que Windows utilise pour le partage de fichiers et d'imprimantes, les canaux nommés (named pipes) et la communication interprocessus. Depuis Windows 2000, il transporte SMB directement sur TCP, remplaçant l'ancien transport NetBIOS sur le port 139. C'est l'un des ports les plus importants de tout environnement Active Directory et il est présent sur quasiment tout hôte Windows.

Pourquoi c'est important pour la sécurité

SMB est le tissu conjonctif des réseaux Windows, ce qui fait du 445 une cible de premier ordre. C'est le canal d'EternalBlue (MS17-010 / CVE-2017-0144), la RCE pré-auth propagable derrière WannaCry et NotPetya, et de SMBGhost (CVE-2020-0796). Il sous-tend aussi le relais NTLM : l'authentification capturée peut être relayée vers SMB ou LDAP pour s'emparer d'un hôte ou élever ses privilèges dans le domaine. Et une fois à l'intérieur, les ransomwares utilisent le 445 pour se déplacer latéralement et chiffrer les partages de fichiers à grande échelle.

Comment c'est attaqué

Les attaquants énumèrent les partages et les null sessions pour cartographier les données et les relations de confiance, puis exploitent MS17-010 pour une exécution de code non authentifiée sur les hôtes non corrigés. Là où la signature SMB est désactivée, l'authentification NTLM coercée ou capturée est relayée pour prendre le contrôle d'autres machines. Après une prise de pied, les opérateurs propagent le ransomware d'hôte en hôte via les partages accessibles — le schéma de mouvement latéral dominant des intrusions modernes.

Liste de durcissement

Désactivez SMBv1 et exigez SMBv3 avec chiffrement. Imposez la signature SMB à l'échelle du domaine pour casser les attaques de relais. N'exposez jamais le 445 à Internet — gardez-le interne et segmenté. Restreignez l'accès anonyme et appliquez des ACL de partage au moindre privilège. Corrigez MS17-010 et SMBGhost immédiatement. Les scripts nmap ci-dessus vérifient MS17-010 et énumèrent les partages sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 139Port 137Port 135Port 88Port 3389

Questions fréquentes

Est-il sûr d'exposer le port 445 à Internet ?
Non. Un SMB exposé à Internet est un vecteur majeur de ransomware et de vers — EternalBlue s'est propagé ainsi. Gardez le 445 strictement interne, derrière un VPN, avec SMBv1 désactivé.
Qu'est-ce qu'EternalBlue ?
EternalBlue (MS17-010 / CVE-2017-0144) est une RCE pré-auth SMBv1 propagable comme un ver, utilisée par WannaCry et NotPetya pour se répandre sur les réseaux via le port 445.