WannaCry… Adoptez les bons réflexes !

Veille Sécurité

WannaCry… Adoptez les bons réflexes !

Veille Sécurité | 16/05/2017 Suite à la fuite d'informations du groupe Shadow Brokers, une vague de cyberattaques ‘RansomWare’ a affecté le week-end dernier un grand nombre de Systèmes d’Information. Pour vous protéger dès aujourd’hui et prévenir les potentielles variantes à venir, Akerva vous rappelle quelques réflexes simples...

Suite à la fuite d’informations du groupe Shadow Brokers, une vague de cyberattaques ‘RansomWare’ a affecté le week-end dernier un grand nombre de Systèmes d’Information.

Pour vous protéger dès aujourd’hui et prévenir les potentielles variantes à venir, Akerva vous rappelle quelques réflexes simples à adopter.

WannaCry, résumé de la situation

Il y a quelques semaines, l’organisation Shadow Brokers a fait fuiter des ‘exploits’ provenant de la NSA (d’après les médias). Ces outils d’exploitation puissants et fiables, disponibles publiquement, permettent d’obtenir très facilement les droits d’administration sur les systèmes vulnérables.

La principale faille exploitée par ces outils porte sur le système d’exploitation Windows et est globalement référencée sous l’appellation MS17-010. Les informations pour les patchs correctifs fournis en mars 2017 par Microsoft sont disponibles ici. L’utilisation de ces failles (précédentes 0days) a permis à des profils mal intentionnés de développer un RansomWare appelé WannaCry qui fait parler de lui depuis quelques jours.

Les différents vecteurs d’attaques habituels sont possibles ; propagation réseau depuis l’externe et/ou l’interne, attaques par rebond, variantes potentielles par mail, …

De manière générale, le niveau de médiatisation et l’impact de cette faille obligent à se protéger en urgence. De nombreuses variantes plus ou moins discrètes vont ainsi très probablement voir le jour.

Comment se prémunir de WannaCry

Concernant la limitation des risques pour son Système d’Information voici quelques préconisations et recommandations :

Concernant le périmètre impacté :
- Uniquement les systèmes Microsoft Windows sont vulnérables/concernés.
- Les machines Windows qui ont eu le patch Microsoft MS17-010 et qui sont à jour ne sont pas impactées par ce type de faille.
- Pour les systèmes globalement jugés obsolètes (2000/XP et 2003 notamment), des patchs exceptionnels sont disponibles :
  - https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  - Il reste nécessaire de penser à les migrer/isoler par la suite.
Concernant le durcissement des systèmes
- Il est préconisé de désactiver SMBv1 de manière générale.
- https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx
Concernant la politique de flux externes :
- L’attaque et ses variantes touchent principalement le port TCP/445 (Partage Windows).
- Toutefois, il est préconisé de bloquer l’accès aux services suivants TCP/445.(SMB), TCP/139 (RPC) et TCP/3389 (RDP).
- Il est impératif de s’assurer que les services mentionnés ne sont pas exposés sur vos IP publiques, même à jour.
Concernant la politique de flux internes :
- Il faut bloquer tous les flux à destination de ces services pour les machines Windows non à jour.
- En ce qui concerne les partages réseaux Windows, si requis ; seuls les serveurs de fichiers centraux à jour devraient être accessibles.
- Sur le principe, les postes de travail et les autres serveurs ne devraient pas être accessibles sur ces services depuis des zones lambda.
- Si vous avez une solution antivirus d’entreprise avec pare-feu intégré, vous pouvez bloquer ces services via la politique de flux centrale.

Pour aller plus loin sur l’impact de WannaCry ou faire auditer votre SI, les experts Akerva sont à votre disposition, contactez-nous !

PRENEZ RDV DES MAINTENANT AVEC UN EXPERT

Cookie	Durée	Description
AWSALBCORS	7 days	This cookie is used for load balancing services provded by Amazon inorder to optimize the user experience. Amazon has updated the ALB and CLB so that customers can continue to use the CORS request with stickness.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Durée	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Durée	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
CONSENT	13 months	This cookie generated by GDPR Cookie Consent plugin is used to receive the user's consent or not in the use of cookies. It does not collect any personal data.
incap_ses_7227_1885766		No description
visid_incap_1885766	1 year	No description

Actualités

Akerva

Faites l’expérience de la sécurité active & réactive