Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Flexera : Après WannaCry, le pire a fini par arriver

juin 2017 par Flexera Software

Les médias du monde entier rapportent aujourd’hui l’existence d’un nouveau rançongiciel qui se propage rapidement. L’entreprise Maersk et la banque nationale d’Ukraine, ainsi que de nombreuses entreprises françaises ont annoncé avoir été victimes de cyberattaques. Pourtant, ce malware semble présenter des caractéristiques assez familières. En effet, de ce que nous en savons actuellement, l’attaque s’appuie sur le même exploit EternalBlue utilisé par WannaCry pour se propager au sein des organisations, toucher toujours plus de terminaux en chiffrant leurs fichiers, et exiger le paiement de rançons sous forme de Bitcoins. Bien que le vecteur initial n’ait pas encore été confirmé, il semble que l’infection se propage par le biais d’e-mails de phishing : comme toujours, soyez très vigilants lorsque vous ouvrez des e-mails et des pièces jointes provenant de sources inconnues.

À l’heure actuelle, nous savons que ce ransomware utilise au moins le même vecteur d’attaque que WannaCry, mais il est possible qu’il en existe d’autres. Pour EternalBlue, Microsoft a publié le patch MS17-010 en mars dernier. Les mises à jour de sécurité de Windows sont désormais cumulatives, donc une fois de plus, nous vous recommandons d’installer les derniers correctifs de l’éditeur afin de protéger vos appareils et vos données. Compte tenu du sérieux de cette vulnérabilité, Microsoft a même été jusqu’à publier un patch pour Windows XP et Windows 2003.
https://blogs.technet.microsoft.com/sudheesn/2017/05/17/patches-that-fix-the-vulnerability-for-ms17-010/

Des renseignements encore à confirmer suggèrent que cette attaque se propage également via les outils WMIC et PSEXEC, ce qui signifierait que des systèmes entièrement patchés pourraient malgré tout être affectés.
Beaucoup de rumeurs et d’informations incomplètes circulent en ce moment. Nous mettrons cette page à jour à mesure que des détails seront confirmés, donc n’hésitez pas à la consulter régulièrement.

Mise à jour n° 1 — Mercredi 28 juin,

Il semble que le vecteur initial de ce ransomware soit une mise à jour d’un logiciel de gestion fiscale ukrainien. Le malware Petya/NotPetya se propagerait ainsi latéralement au sein des entreprises utilisant le logiciel affecté en profitant de la fonction de mise à jour automatique.
Compte tenu des détails connus actuellement, il semble qu’à part EternalBlue (qui n’est qu’un mode de propagation potentiel du malware parmi tant d’autres), aucune vulnérabilité ne soit exploitée. Nous recommandons aux organisations de s’assurer d’avoir déployé la mise à jour MS17-010, et de vérifier que leurs stratégies internes de sécurité respectent les meilleures pratiques en la matière.


Voir les articles précédents

    

Voir les articles suivants