Attaque mondiale–WannaCry: Comment s’en protéger et détecter la faille


Pourquoi cette attaque est-elle sans précédent?

En fait c’est une attaque classique de Ransomware que nous subissons déjà depuis quelques années via l’envoi massif d’emails ce qui touche l’ensemble des utilisateurs et des entreprises de la planète. Rien de neuf sur l’objectif.

2 problèmes majeures s’ajoutent ici :

  1. L’exploitation d’une faille Microsoft qui permet d’exécuter le ransomware sur les machines vulnérables à distance. Plus besoin qu’un utilisateur ouvre le fichier pour infecter la machine. Propagation automatisée avec montée en mémoire directe. Même principe que les anciens vers de réseau de type Kido (conficker) par exemple, rien de neuf non plus. https://support.kaspersky.com/fr/1956
  2. Les anciens OS Microsoft Windows XP et Windows 2003 sont touchés. C’est la raison pour laquelle nous avons vu le ransomware sur des tableaux d’affichage ou sur les écrans d’usines de production. Ces équipements n’ont pas été renouvelés et n’utilisent pas de produit de sécurité capable de bloquer ce type d’attaque, ceci souvent pour des raisons de coûts. L’évaluation des risques n’a pas été réalisée de façon méthodique. Pourtant l’utilisation de produits spécifiques comme Kaspersky Embedded Systems Security ou Kaspersky Industrial CyberSecurity for Nodes sont efficaces même pour ce type de systèmes.

Note : Dans le cas de WannaCry, les attaquants peuvent également pénétrer les machines directement via Internet. Attention donc pour ceux qui se connectent directement à Internet via les partages mobiles (3G, 4G), les WiFi publics, le fait même de vous connecter en VPN ne vous protègera pas, mais au contraire pourra propager le malware dans le réseau distant si la segmentation réseau n’a pas été faite correctement.

Plus d’informations ici:

Blog des chercheurs Kaspersky: https://securelist.com/blog/research/78411/wannacry-faq-what-you-need-to-know-today/

Les méthodes de protection et ce que vous offre Kaspersky Lab:

De façon générale, si le malware arrive via email, lien de phishing c’est sur les utilisateurs que vous allez devoir agir :

Protection :

  • Sensibilisation et formation des utilisateurs

La technique du ransomware = Dans ce cas seul, une solution de détection avancée capable de détecter ce type de menace pourra vous protéger. Les antivirus à signatures ne sont pas efficaces.

Protection :

  • Module System Watcher de Kaspersky Endpoint Security. Il n’a pas besoin de signatures spécifiques pour détecter ce type de menace. Protection comportementale.
  • En complément : Service de réputation KSN et/ou contrôle de l’activité des applications (HIPS). Utilisation de règles mathématiques et de corrélations.
  • Autre possibilité : Utiliser le contrôle de lancement des applications en mode blocage par défaut (liste blanche autorisée uniquement)

Faille Microsoft = Utilisation d’une protection avancée

Protection :

Quelques copie écran:

IDS KES 10:

image

“Exploit prevention” Kaspersky Embedded Systems Security ou KICS for Node

image

 

Retrouver tous les conseils ici: http://support.kaspersky.com/fr/13698

Comment savoir si vous êtes concernés par la faille Microsoft:

Si vous avez installé Kaspersky Security Center vous avez par défaut la fonction de détection des vulnérabilités.

3 étapes:

  1. Lancer une “recherche de vulnérabilités et de mises à jour” sur vos postes. vous pouvez également la créer si elle n’existe pas.
  2. Faire une recherche sur la vulnérabilité KLA10977.
  3. Si vous avez la licence Advanced ou System Management vous pourrez facilement déployer le correctif comme dans cette vidéo.

Vous pouvez également utiliser Metasploit et réaliser une analyse de votre réseau via le script auxiliary/scanner/smb/smb_ms17_010

image

image

Publicités

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s