Site icon Sophos News

InfoSec 2017 : comment se protéger contre la prochaine cyberattaque Wannacry ?

cyberattaque wannacry

Moins d’un mois après que la cyberattaque WannaCry ait permis de pirater des centaines de milliers d’ordinateurs à travers le monde, ceux qui ont participé à InfoSec Europe 2017 se heurtent à des questions persistantes concernant la façon dont ce dernier se propage si rapidement, et surtout ce qui viendra ensuite.

L’agenda de la conférence contient des discussions et des exposés sur le sujet.

Sophos a travaillé très dur, après l’apparition de cette épidémie, pour analyser ce qui a déclenché cette cyberattaque WannaCry, et ce afin de transformer les leçons apprises en une défense plus robuste. Pour aider les participants de la conférence InfoSec dans leurs discussions, nous offrons le point de vue suivant.

Le CTO de Sophos Joe Levy a montré comment Wannacry s’est propagé en profitant d’un exploit pour Microsoft Windows SMB émanant de la NSA, et qui avait été divulgué le mois dernier par le groupe de hackers Shadow Brokers. Il a donné un point de vue technique sur le déroulement des faits, comment la cyberattaque Wannacry s’est déroulée, la chronologie des événements, comment cette dernière attaque aurait pu être évitée, et ce qu’il faut faire maintenant. Vous pouvez visionner la présentation complète sur la page du webinaire de Sophos.

La chronologie des événements

L’histoire de WannaCry a commencé à un moment situé entre 2013 et 2016, lorsque les outils d’exploits de la NSA ont été volés. En août 2016, Shadow Brokers s’est révélé au grand jour, et six mois plus tard a annoncé la mise aux enchères des outils de la NSA qu’il avait acquis.

En apprenant que les exploits ciblaient Windows SMB, Microsoft a publié un patch en mars dernier. Lorsque l’épidémie a frappé deux mois plus tard, il était clair que les entreprises et les individus avaient sous-estimé l’important d’installer le correctif ou utilisaient des versions obsolètes de Windows.

L’enquête a fait apparaitre une cyberattaque Wannacry en trois étapes, en commençant par l’exécution de code à distance avec des malwares obtenant des privilèges d’utilisateurs avancés. A partie de là, le payload a été déballé et exécuté. Une fois que les ordinateurs piratés, il a chiffré les documents et affiché un message concernant la rançon.

SophosLabs et d’autres ont déterminé qu’il ne s’agissait pas d’une attaque classique par ransomwares. Certes, un payload était bien présent, mais il ne s’est pas propagé via des liens et des pièces jointes, habituellement vecteurs d’infection. Il s’est diffusé avec la précision classique d’un worm, exploitant une faille dans le service Windows Server Message Block (SMB), que les ordinateurs Windows utilisent pour partager des fichiers et des imprimantes sur les réseaux locaux. Microsoft a traité ce problème dans son bulletin MS17-010.

Ce worm générait des adresses IP aléatoires. Une fois que les adresses IP avaient été définies, le worm envoyait des paquets SMB malveillants à l’hôte distant, lui permettant de se propager.

Les leçons à tirer

James Lyne, responsable de la recherche sécurité chez Sophos, a offert ce conseil hier à InfoSec :

Ces conseils auraient pu éviter certains déboires aux entreprises le mois dernier. Prêter attention dès à présent pourrait les aider à se préparer avec une défense beaucoup plus forte contre de potentielles attaques à venir.

Bien sûr, les conseils est souvent plus facile à donner qu’à appliquer. Certaines entreprises ont été critiquées pour avoir tardé à patcher leurs systèmes ou utilisé d’anciennes versions de Windows. Mais le fait de patcher tardivement ou d’utiliser des versions obsolètes de Windows ne résultent pas toujours d’une forme de paresse ou d’apathie.

Il est fréquent de voir des services informatiques bloquer certaines mises à jour car ils doivent modifier au préalable leur système pour des raisons de compatibilité. Sans cette précaution, ils risqueraient de déployer un patch mettant en danger d’autres programmes. En parallèle, certaines entreprises ont continué d’utiliser d’anciennes versions de Windows car ils n’ont pas les ressources financières et humaines nécessaires pour la mise à niveau, et du fait des systèmes existants ne sont pas encore équipés pour fonctionner avec, par exemple, Windows 10. Il existe d’autres raisons, mais ces dernières sont les 2 principales.

Ces difficultés mises à part, Lyne a déclaré que les entreprises ne pouvaient plus se permettre le statu quo. Il existe déjà des preuves de plus de potentiels problèmes à venir :

Lyne a déclaré aux participants :

Lorsque nous examinons certaines de ces cyberattaques, nous parlons d’échecs liés à une certaine négligence. Nous ne pouvons pas compter sans cesse sur des outils pour nous aider à déchiffrer les ransomwares. Cette nouvelle cyberattaque WannaCry doit être un déclencheur, car cela pourrait être encore pire.  

Conseils de départ

Depuis WannaCry, nous avons offert les conseils ci-dessous. Pour se prémunir contre les malwares exploitant les vulnérabilités de Microsoft :

Étant donné que le payload du worm était un ransomware, un rappel sur les précautions à prendre est de rigueur :


Billet inspiré de InfoSec 2017: how to protect yourself against the next WannaCry, sur Sophos nakedsecurity.

Exit mobile version