Spectre et Meltdown vu depuis les produits Kaspersky Lab

Voici un petit retour sur Spectre et Meltdow

L’ensemble des produits Kaspersky Lab possèdent les mises à jour depuis fin décembre et ne sont donc pas concernés par le blocage de la mise à jour Microsoft update. Les points essentiels.

1 – Blog et support des produits Kaspersky Lab :

Deux vulnérabilités graves découvertes dans le matériel d’Intel – Blog officiel de Kaspersky Lab

2 – Information Microsoft :

Le bulletin Microsoft : https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV180002

La référence importante est : ADV180002

Les références complémentaires se trouvent dans la section « Produits concernés » et la colonne « Article » (longue liste des produits Microsoft concernés):

Exemple article KB4056980 : https://support.microsoft.com/en-us/help/4056890/windows-10-update-kb4056890

3 – Détection Kaspersky Lab via le scan de vulnérabilité :

Il faudra ajouter le filtre « Principal correctif recommandé pour la correction » en cliquant sur « Configurer le filtre »

4 – Il ne reste plus qu’à sélectionner le correctif et le déployer s’i vous avez une licence pour le patch management. Pour cela effectuer un clic droit sur le correctif spécifique ou alors lancer vos tâches d’installation des correctifs.

5 – L’exploitation des failles connues par des « Proof of Concept », elles, sont bloquées par les composants Next-Gen (j’adore ce terme) tel que « System Watcher (datant de 2011).

Spectre:

  • Exploit.Win32.CVE-2017-5753.*
  • Exploit.Win64.CVE-2017-5753.*

Meltdown:

  • Exploit.Win64.CVE-2017-5754.a.

 

vincent@ici-paris.eu

Publicités

Attaque mondiale–WannaCry: Comment s’en protéger et détecter la faille

Pourquoi cette attaque est-elle sans précédent?

En fait c’est une attaque classique de Ransomware que nous subissons déjà depuis quelques années via l’envoi massif d’emails ce qui touche l’ensemble des utilisateurs et des entreprises de la planète. Rien de neuf sur l’objectif.

2 problèmes majeures s’ajoutent ici :

  1. L’exploitation d’une faille Microsoft qui permet d’exécuter le ransomware sur les machines vulnérables à distance. Plus besoin qu’un utilisateur ouvre le fichier pour infecter la machine. Propagation automatisée avec montée en mémoire directe. Même principe que les anciens vers de réseau de type Kido (conficker) par exemple, rien de neuf non plus. https://support.kaspersky.com/fr/1956
  2. Les anciens OS Microsoft Windows XP et Windows 2003 sont touchés. C’est la raison pour laquelle nous avons vu le ransomware sur des tableaux d’affichage ou sur les écrans d’usines de production. Ces équipements n’ont pas été renouvelés et n’utilisent pas de produit de sécurité capable de bloquer ce type d’attaque, ceci souvent pour des raisons de coûts. L’évaluation des risques n’a pas été réalisée de façon méthodique. Pourtant l’utilisation de produits spécifiques comme Kaspersky Embedded Systems Security ou Kaspersky Industrial CyberSecurity for Nodes sont efficaces même pour ce type de systèmes.

Note : Dans le cas de WannaCry, les attaquants peuvent également pénétrer les machines directement via Internet. Attention donc pour ceux qui se connectent directement à Internet via les partages mobiles (3G, 4G), les WiFi publics, le fait même de vous connecter en VPN ne vous protègera pas, mais au contraire pourra propager le malware dans le réseau distant si la segmentation réseau n’a pas été faite correctement.

Plus d’informations ici:

Blog des chercheurs Kaspersky: https://securelist.com/blog/research/78411/wannacry-faq-what-you-need-to-know-today/

Les méthodes de protection et ce que vous offre Kaspersky Lab:

De façon générale, si le malware arrive via email, lien de phishing c’est sur les utilisateurs que vous allez devoir agir :

Protection :

  • Sensibilisation et formation des utilisateurs

La technique du ransomware = Dans ce cas seul, une solution de détection avancée capable de détecter ce type de menace pourra vous protéger. Les antivirus à signatures ne sont pas efficaces.

Protection :

  • Module System Watcher de Kaspersky Endpoint Security. Il n’a pas besoin de signatures spécifiques pour détecter ce type de menace. Protection comportementale.
  • En complément : Service de réputation KSN et/ou contrôle de l’activité des applications (HIPS). Utilisation de règles mathématiques et de corrélations.
  • Autre possibilité : Utiliser le contrôle de lancement des applications en mode blocage par défaut (liste blanche autorisée uniquement)

Faille Microsoft = Utilisation d’une protection avancée

Protection :

Quelques copie écran:

IDS KES 10:

image

“Exploit prevention” Kaspersky Embedded Systems Security ou KICS for Node

image

 

Retrouver tous les conseils ici: http://support.kaspersky.com/fr/13698

Comment savoir si vous êtes concernés par la faille Microsoft:

Si vous avez installé Kaspersky Security Center vous avez par défaut la fonction de détection des vulnérabilités.

3 étapes:

  1. Lancer une “recherche de vulnérabilités et de mises à jour” sur vos postes. vous pouvez également la créer si elle n’existe pas.
  2. Faire une recherche sur la vulnérabilité KLA10977.
  3. Si vous avez la licence Advanced ou System Management vous pourrez facilement déployer le correctif comme dans cette vidéo.

Vous pouvez également utiliser Metasploit et réaliser une analyse de votre réseau via le script auxiliary/scanner/smb/smb_ms17_010

image

image

Migration vShield Manager 5.5.4 vers NSX Manager 6.2.4 avec KSV 3.0 AgentLess

VMware va bientôt arrêter le support de vShield Manager et pousse donc ses clients vers NSX manager.

Avec la sortie de Kaspersky Security for Virtualization 4.0 supportant les déploiements via NSX manager j’ai donc entrepris la migration de ma petite structure vSphere 6.0 avec vShield Manager 5.5.4 vers NSX 6.2.4.

Cela me permet également de voir l’interaction avec la solution de sécurité Kaspersky.

VMware a édité pas mal de documents à ce sujet, voici quelques liens pour avoir les prérequis et procédures de migration.

Guide de mise à niveau Guide de mise à niveau

Pour faire simple et après avoir vérifié les prérequis j’ai mis à jour vShield Manager 5.5.4 avec le bundle de mise à jour NSX puis mis à jour NSX dans sa dernière version 6.2.4 depuis la console web de NSX.

image

Il suffit simplement de charger la mise à jour de puis la console de vShield manager et le processus s’occupe de migrer en NSX.

image

Même chose pour passer de NSX 6.2.0 en 6.2.4,  le tout sans avoir à changer quoi que ce soit sur mon serveur Kaspersky Security Center et mes machines de protection continuent à fonctionner.

La gestion se fait maintenant via vSphere et le plugin d’administration Networking Security.

SNAGHTMLa7f17ea

Depuis la console vSphere, on peut remarquer également que la version de vShield endpoint est la version 5.X, cela permet de conserver le fonctionnement de KSV .

SNAGHTMLa705beb

Note: ne pas mettre à niveau, sinon vous perdez la protection et il vous faudra migrer vers la version 4.0 de KSV pour laquelle un autre poste sera créé.

SNAGHTMLa850322

Note: Lors de cette migration, il faut faire très attention avec le navigateur utilisé pour se connecter avec les différentes consoles. Par exemple pour NSX Manager, l’upgrade de 6.2.0 à 6.24 ne fonctionnait pas avec Firefox, je suis donc passé à Internet Explorer. Idem, après chaque mise à jour de NSX, il faut fermer son navigateur afin de pouvoir charger le nouveau plugin NSX et ses mises à jour.

Nouveautés Kaspersky Security for Virtualization 4.0 Agentless

Kaspersky Security for Virtualization 4.0 Agentless disponible fin 2016 présente les nouvelles fonctionnalités suivantes :

· La prise en charge de la compatibilité avec la plateforme VMware NSX for vSphere est ajoutée.

Support du déploiement automatique sur les hôtes ESXi des clusters via NSX Manager.

image

Utilisation du service composer permettant de définir les groupes de sécurité des machines virtuelles protégées par les composants de filtrage antivirus et de filtrage IDS/IPS + Urls.

image

Support des TAGs via NSX manager permettant de modifier les groupes de sécurités des machines virtuelles en cas de détection virale ou d’attaque réseau. Cela permet d’appliquer automatiquement des règles de protection complémentaires voir la mise en quarantaine des machines infectées.

image

· Il est possible d’analyser les machines virtuelles désactivées ou arrêtées (offline) si celles-ci utilisent le système de fichiers NTFS ou FAT32.

image

La tâche d’analyse à la demande supporte l’analyse des disques de machines virtuelles éteintes sans avoir à démarrer les machines virtuelles.

· L’agent SNMP avec le module Antivirus Fichiers est installé sur les SVM ; il peut donner des informations sur l’état des SVM avec le module Antivirus Fichiers au système de surveillance SNMP du réseau de votre entreprise. Si le système de surveillance SNMP est installé dans le réseau de votre organisation, vous pouvez surveiller l’état des SVM déployées dans l’infrastructure virtuelle au moyen du protocole SNMP.

image

 

· Le Serveur d’intégration peut désormais être connecté à plusieurs serveurs VMware vCenter pour la réception d’informations sur l’infrastructure virtuelle VMware en provenance de ces derniers.

image

· Une procédure unique d’installation du plug-in d’administration de Kaspersky Security et du Serveur d’intégration est exécutée. L’installation du plug-in d’administration de Kaspersky Security, du Serveur d’intégration et de la Console de gestion du Serveur d’intégration s’opère à l’aide de l’assistant d’installation des modules de gestion de Kaspersky Security. Vous pouvez aussi lancer l’installation depuis la ligne de commande.

image

· La configuration des SVM peut également être modifiée via l’application, sur toutes les SVM choisies, à partir des paramètres de configuration indiqués dans le fichier de configuration de type ksv.cfg.

image

Nouveautés Kaspersky Security 9.0 for Microsoft Exchange Servers MR3 (Version 9.3.54.0)

Vous pouvez migrer depuis la version précédente MR2 (9.2) en installant le produit par dessus.

Pour cela téléchargez la nouvelle version depuis le site de support par exemple: http://support.kaspersky.com/fr/kse9#downloads

Vidéo de migration Windows Serveur 2012 R2 + Microsoft Exchange 2013 SP1:

Suite à la migration vous devez réactualiser l’acceptation du contrat de licence KSN:

image

Vous pouvez le faire dans votre profil de configuration ou dans les propriétés de Configuration du serveur.

Nouveautés :
1. Utilisation de nouveaux rôles d’utilisateurs de l’application pour le contrôle de l’accès aux fonctions de l’application. Les nouveaux rôles permettent de consulter l’état de la protection du serveur et les statistiques de fonctionnement de l’application sans autoriser la modification des paramètres de sécurité. Ils limitent également l’utilisation du dossier sauvegarde (quarantaine).

image

Plus d’informations ici : https://help.kaspersky.com/KS4Exchange/9.3/fr-FR/81511.htm

Exemple vue de l’utilisateur du groupe “KSE AV Operators” :

image

Accès aux statistiques et aux rapports de l’application uniquement.

2. Audit de modification des paramètres de l’application par évènement du journal des évènements Windows. Ajout de nouveaux types d’évènements de suivi de configuration (ID 3000):

SNAGHTMLabf173f

Nom d’utilisateur ayant réalisé la modification, type de modification et valeur.

Plus d’information ici: https://help.kaspersky.com/KS4Exchange/9.3/fr-FR/127197.htm

3. Surveillance de l’état de l’application, obtention des statistiques de fonctionnement de l’application et administration des listes blanches et noires d’adresses de l’Anti-Spam à l’aide de commandes dans l’environnement Windows PowerShell.

SNAGHTMLac64ce0

Plus d’information ici : https://help.kaspersky.com/KS4Exchange/9.3/fr-FR/116182.htm

4. Configuration de la liste blanche d’adresses de l’Anti-Spam pour laisser passer tous les types de spam ou uniquement les envois groupés (“Massmail”). Amélioration de l’interface de l’application pour l’utilisation des listes blanches et noires.

Exemple pour la liste d’adresse 01 Net:

image

Plus d’information ici : https://help.kaspersky.com/KS4Exchange/9.3/fr-FR/112993.htm

5. Interdiction par défaut de l’envoi de notifications sur le fonctionnement de l’application à des expéditeurs en dehors de l’entreprise.

SNAGHTMLb0c8fba

6. Surveillance des fuites de données selon les nouvelles catégories « Citations tirées de documents» et « Modèles de documents ».

image

Plus d’informations ici:
https://help.kaspersky.com/KS4Exchange/9.3/fr-FR/112923.htm
https://help.kaspersky.com/KS4Exchange/9.3/fr-FR/112683.htm

Renforcement de la sécurité SSL/TLS de votre serveur d’administration Kaspersky Security Center

Petite mise à jour du 18/08/2016.

Suite à la remarque judicieuse de Slavko, la clé de registre a changé. En fait la modification apportée est transférée vers la clé : HKLM\Software\Wow6432Node\KasperskyLab\Components\34\.core\.independent\Transport\SrvUseStrictSslSettings

Vous pouvez donc apporter la modification sur l’une ou l’autre.

 

Certains outils d’audits peuvent détecter des failles de sécurité SSLV3.0/TLSv1.0 sur le serveur d’administration Kaspersky Security Center sur les ports de communication TCP 13000 ou 13291.

image

Voici quelques sites web que vous pouvez utiliser si votre serveur est exposé sur Internet:

Microsoft recommande d’installer le correctif suivant : https://support.microsoft.com/en-us/kb/2643584

En ce qui concerne le serveur Kaspersky Security Center, voici la configuration à mettre en place :

Nota: Avant de commencer, veuillez afficher le rapport des versions d’agent d’administration et vérifier si vos clients sont en version 10. Dans ce cas vous pouvez forcer l’utilisation la plus restrictive (valeur 3) comme c’est indiqué plus bas.

Ensuite ouvrir l’éditeur de base de registre REGEDIT.exe sur votre serveur Windows.

image

1- Ouvrir le registre Windows et la ruche:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags

ou

HKLM\Software\Wow6432Node\KasperskyLab\Components\34\.core\.independent\Transport

2 – Ajoutez la clé REG_DWORD « SrvUseStrictSslSettings »

3 – Liste des valeurs possibles / incidences fonctionnelles:

  • ‘0’ = Tous les protocoles SSL sont activés incluant la version SSL v2. touts les types de chiffrements sont activés incluant les versions faibles.
  • ‘1’ (valeur par défaut) = SSLv2 est désactivée, seulement les chiffrements OpenSSL sont autorisés, pas tous.
  • ‘2’ = identique à la valeur 1 + SSLv3 désactivé
  • ‘3’ = Toutes les connections utilisent uniquement TLSv1.2, les autres versions SSL/TLS sont rejetées.Attention: Les agents d’administration des versions inférieurs à la v10.0 ne pourront pas se connecter, car ils ne supportent pas TLSv1.2. C’est le serveur qui impose le type de chiffrement utilisé et celui-ci ne sera plus négocié avec le client. Idem pour certaines versions d’Android si vous administrez ceux-ci via le serveur.

    Exemple:

    image

 

Quelques outils pour tenter de récupérer vos fichiers chiffrés par un ransomware 08/2016

Pour une fois un petit billet de quelques lignes pour vous donner quelques sites pour essayer de récupérer vos fichiers chiffrés si vous avez été victime d’un crypto.

18-08-2016

Outil gratuit temps réel de Kaspersky Lab pour les entreprises compatible uniquement si vous avez une autre suite de sécurité que des produits Kaspersky Lab (puisque ces fonctions sont déjà incluses dans la KES ou la KIS par exemple): https://go.kaspersky.com/Anti-ransomware-tool.html

TrendMicro : http://esupport.trendmicro.com/solution/en-us/1114221.aspx

Nouveau site créé par la Police nationale néerlandaise, Europol, Intel Security et Kaspersky Lab : https://www.nomoreransom.org/index.html

05-2016

La site le plus complet : https://id-ransomware.malwarehunterteam.com/index.php?lang=fr_FR

Les outils de Kaspersky Lab : http://support.kaspersky.com/fr/viruses/utility

Emisoft : https://decrypter.emsisoft.com/