NewbieContest

Bonjour à tous,

J'imagine que ce n'est pas une nouvelle pour la majorité d'entre vous, cependant je trouvais important d'en parler ici. Ce sera un tout petit message avec les trèèès grandes lignes, mais les liens fournis permettent d'aller se renseigner plus en profondeur.

Ce week-end, un malwre comme-les-autres-mais-pas-tout-a-fait a fait des ravages dans le monde de l'informatique. Le ransomware-ver WanaCrypt a infecté plusieurs dizaines de milliers de postes partout dans le monde.

Kézako ?

Tout le monde en parle, et pas seulement la communauté tech. On peut par exemple citer Le Monde (http://www.lemonde.fr/pixels/article/2017/05/14/cyberattaque-comment-un-jeune-anglais-est-devenu-un-heros-accidentel_5127619_4408996.html), Le Parisien (http://www.leparisien.fr/high-tech/cyberattaque-mondiale-matthieu-28-ans-a-freine-la-propagation-du-ransomware-15-05-2017-6951414.php), ou encore Ouest France (http://www.ouest-france.fr/high-tech/cyberattaque-mondiale-une-nouvelle-attaque-encore-possible-4993750). Cette attaque d'envergure mondiale a touché officiellement plus de 150 pays, beaucoup d'entreprises et de particuliers. C'est un malware qui va chiffrer les données des postes en contrepartie d'un paiement, et son moyen de propagation rend l'infection d'autant plus agressive.

Qu'a-t-elle de particulier ?

Contrairement aux campagnes classiques de phishing embarquant de "simples" ransomwares, cette fois-ci le malware avait une particularité qui l'a rendu plus agressif : Il utilisait une faille dans le protocole SMB (Partage de fichiers à distance dans un environnement Windows) permettant d'exécuter des commandes sur une machine à distance (CVE 2017-0144 (https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144)). Ainsi, lorsque le malware est exécuté sur une machine, il va d'abord scanner le sous réseau sur lequel la machine se trouve afin de trouver des cibles vulnérables et s'installer dessus, ainsi que des IP publiques. Il va également chiffrer les données de la machine sur laquelle il se trouve avec un système de clés publiques/clés privées. Enfin, il va également installer une backdoor sur le poste appelée "Double Pulsar" qui utilise également SMB.

Impact

Cette faille sur SMB a été publiée publiquement en avril suite à un leak des outils de la NSA par la team Sadow Brokers. Microsoft a publié un patch permettant de s'en prémunir rapidement, mais l'impact est fort puisque évidemment, pas toutes les machines étaient à jour, notamment chez les entreprises pour qui c'est difficile d'avoir un parc complet de machines up-to-date. A ce jour, plus de 150 pays sont touchés, plusieurs dizaines de milliers de machines sont chiffrées et non récupérables, une hécatombe.

Se protéger

Pour cela, rien de bien compliqué : Ne pas être sous Windows (/troll), le cas échéant, appliquer les patchs de sécurité proposés par Windows, ne pas cliquer sur les PJ aveuglément, et envoyer 10 euros à Pixis. Si jamais c'est trop tard pour vous, toutes mes condoléances. Cependant, gardez une copie de votre disque, sait-on jamais, peut-être qu'une solution sera trouvée pour déchiffrer ou décrypter le bouzin.

Quelques liens parce que ce que je raconte, c'est back to basics, et j'ai pas parlé du kill-switch mais j'ai la flemme. Et puis j'ai p'tet dis des bêtises aussi.

• SANS (https://isc.sans.edu/forums/diary/WannaCryWannaCrypt+Ransomware+Summary/22420/)
• Bulletin Microsoft MS17-010 (https://support.microsoft.com/fr-fr/help/4013389/title)
• The Hacker News (http://thehackernews.com/2017/05/how-to-wannacry-ransomware.html)
• Infos sur Double Pulsar, la backdoor SMB (https://en.wikipedia.org/wiki/DoublePulsar)
• Korben (https://korben.info/wannacry-bien-pleurez.html)
• Technical details (https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58)
• Malwarebytes (https://blog.malwarebytes.com/cybercrime/2017/05/wanacrypt0r-ransomware-hits-it-big-just-before-the-weekend/)
• Reddit (https://www.reddit.com/r/netsec/comments/6atfkl/wanacrypt0r_ransomware_hits_it_big_just_before/)

Merci pixis,
Cela m'a incité à trouver et à appliquer le patch KB4012598.
Un processus simple même pour moi, un utilisateur Windows  =D

J'ai passé mon week-end à patcher.
Je n'ai pas d'astreintes.

Cela dit, suffit de désactiver SMBv1 à priori. Chose qui aurait dû être faite dans le monde entier depuis des années :p

Enjoy

The lsd

Sauf que sur un 2003 par exemple ça ne me paraît pas trop possible.
Sinon oui effectivement.

Je connais la problématique, mais bon, ça fait une bonne raison de dire au big boss "Hey chef, si on prenait le 2003 là, tu sais, celui qui traîne depuis des années, un marteau, et qu'on leur faisait faire un gros câlin ?" =D


Enjoy

The lsd

Bah c'est surtout lié à de vieilles applis métier non portées sur les nouvelles versions de Windows généralement.
Sinon oui j'aimerais bien faire ça, enfin avec un marteau virtuel ;p

Ah bon, t'as pas envie de péter tout l'hyperviseur ? t'es pas joueur ^^

J'imagine oui, que c'est une histoire de compatibilité. De toute façon, c'est toujours une histoire de compatibilité. Et c'est le problème des applis métiers, les éditeurs s'en cognent. Du coup, moi, j'ai envie de les cogner aussi. Mais pas avec un marteau virtuel pour le coup :)

Enjoy

The lsd

Un retex assez intéressant pour ceux que ça intéresse

https://blog.kryptoslogic.com/malware/2017/05/29/two-weeks-later.html