Veille Sécurité
WannaCry… Adoptez les bons réflexes !
Veille Sécurité | 16/05/2017
Suite à la fuite d'informations du groupe Shadow Brokers, une vague de cyberattaques ‘RansomWare’ a affecté le week-end dernier un grand nombre de Systèmes d’Information.
Pour vous protéger dès aujourd’hui et prévenir les potentielles variantes à venir, Akerva vous rappelle quelques réflexes simples...
Suite à la fuite d’informations du groupe Shadow Brokers, une vague de cyberattaques ‘RansomWare’ a affecté le week-end dernier un grand nombre de Systèmes d’Information.
Pour vous protéger dès aujourd’hui et prévenir les potentielles variantes à venir, Akerva vous rappelle quelques réflexes simples à adopter.
WannaCry, résumé de la situation
Il y a quelques semaines, l’organisation Shadow Brokers a fait fuiter des ‘exploits’ provenant de la NSA (d’après les médias). Ces outils d’exploitation puissants et fiables, disponibles publiquement, permettent d’obtenir très facilement les droits d’administration sur les systèmes vulnérables.
La principale faille exploitée par ces outils porte sur le système d’exploitation Windows et est globalement référencée sous l’appellation MS17-010. Les informations pour les patchs correctifs fournis en mars 2017 par Microsoft sont disponibles ici. L’utilisation de ces failles (précédentes 0days) a permis à des profils mal intentionnés de développer un RansomWare appelé WannaCry qui fait parler de lui depuis quelques jours.
Les différents vecteurs d’attaques habituels sont possibles ; propagation réseau depuis l’externe et/ou l’interne, attaques par rebond, variantes potentielles par mail, …
De manière générale, le niveau de médiatisation et l’impact de cette faille obligent à se protéger en urgence. De nombreuses variantes plus ou moins discrètes vont ainsi très probablement voir le jour.
Comment se prémunir de WannaCry
Concernant la limitation des risques pour son Système d’Information voici quelques préconisations et recommandations :
- Concernant le périmètre impacté :
- Uniquement les systèmes Microsoft Windows sont vulnérables/concernés.
- Les machines Windows qui ont eu le patch Microsoft MS17-010 et qui sont à jour ne sont pas impactées par ce type de faille.
- Pour les systèmes globalement jugés obsolètes (2000/XP et 2003 notamment), des patchs exceptionnels sont disponibles :
- Concernant le durcissement des systèmes
- Concernant la politique de flux externes :
- L’attaque et ses variantes touchent principalement le port TCP/445 (Partage Windows).
- Toutefois, il est préconisé de bloquer l’accès aux services suivants TCP/445.(SMB), TCP/139 (RPC) et TCP/3389 (RDP).
- Il est impératif de s’assurer que les services mentionnés ne sont pas exposés sur vos IP publiques, même à jour.
- Concernant la politique de flux internes :
- Il faut bloquer tous les flux à destination de ces services pour les machines Windows non à jour.
- En ce qui concerne les partages réseaux Windows, si requis ; seuls les serveurs de fichiers centraux à jour devraient être accessibles.
- Sur le principe, les postes de travail et les autres serveurs ne devraient pas être accessibles sur ces services depuis des zones lambda.
- Si vous avez une solution antivirus d’entreprise avec pare-feu intégré, vous pouvez bloquer ces services via la politique de flux centrale.
Pour aller plus loin sur l’impact de WannaCry ou faire auditer votre SI, les experts Akerva sont à votre disposition, contactez-nous !
PRENEZ RDV DES MAINTENANT AVEC UN EXPERT