Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Il y a quelques jours, une cyberattaque importante était lancée. WannaCry (un ransomware) utilisait alors une faille ZeroDay révélée quelques semaines plus tôt par un groupe de Hackers. Les entreprises touchées se sont vues chiffrées le contenu de certaines machines et serveurs de fichiers. Outre la perte de document, certaines ont été touchées sur leurs outils de production. Wannacry demandait alors de devoir payer une somme afin de pouvoir récupérer les fichiers. Dans l’état Wannacry exploite une faille du protocole SMBv1.

Etat des lieux

Microsoft avait publié des correctifs de sécurité depuis Mars 2017 pour les systèmes en cours de support. La proposition (Alarmante ?!) de machines utilisant des systèmes hérités tels que Windows XP ou Windows Server 2003 a forcé Microsoft à publier une mise à jour spécialement pour cette faille…

Deux constats à avoir :

  • La faille avait été corrigée depuis deux mois, ce qui amène à penser qu’en 2017 de nombreuses entreprises ne suivent toujours le cycle de mises à jour… Les entreprises qui avaient fait le travail, ne couraient donc aucun risque bien avant la sortie de WannaCry.
  • De nombreuses entreprises utilisent encore des systèmes hérités pensant qu’une utilisation sur un réseau interne (voir dédié) limite fortement les risques. Là encore, elles ont tort.

Actions à réaliser

Outre le fait que le passage de la mise à jour permet de s’abstraire du risque encouru par la faille, la désactivation de SMBv1 permet aussi purement et simplement de limiter la propagation du mal. Windows 10 a fait un premier pas en avant dans ce sens mais c’est une mesure qui aurait pu être prise depuis longtemps sur les systèmes antérieurs.

Microsoft a publié des requêtes SQL permettant d’identifier via System Center Configuration Manager, les machines vulnérables et n’ayant pas appliqué les correctifs adéquats : ConfigMgr SQL queries for helping the IT Pro report on KBs related to MS17-010

Si vous n'avez pas Configuration Manager, Microsoft a publié un script pour ceux qui utiliseraient WSUS : Status of Update per Update ID from WSUS server

Pour connaître la liste des mises à jour qui peuvent adresser la faille, je vous invite à lire le billet : Patches That Fix the Vulnerability For MS17-010

On retrouve aussi un article à destination des utilisateurs des services Azure donnant des bonnes pratiques. Le cloud nous fait souvent oublier qu’il peut aussi être concerné par ce problème. Outre la mise à jour des systèmes, il propose les actions suivantes :

  • Vérifier qu’aucun point de terminaison SMB est exposé sur Internet via les ports TCP 139, TCP 445, UDP 137, UDP 138. C’est bien entendu du bon sens mais il est préférable de vérifier.
  • Désactiver SMBv1 via https://aka.ms/disablesmb1
  • Suivre l’état de conformité de mise à jour des machines avec Azure Security Center.
  • Utiliser des groupes de sécurité réseau (NSG) pour limiter l’accès réseau à vos ressources.
  • Confirmer qu’un antivirus est déployé et mis à jour.

Notez que ces recommandations s’appliquent bien entendu à vos environnements Interne.

La désactivation de SMBv1 peut se faire via System Center Configuration Manager et la fonctionnalité de gestion de conformité. Le blog des PFEs System Center détaille comment procéder.

Quelles sont les opportunités ?

Outre les actions d’urgence que vous initiez, il faut prendre cette alerte comme une opportunité. Vous êtes passé au travers du filet mais ceci peut constituer une bonne occasion de :

  • Revoir vos processus de :
    • Gestion des mises à jour logicielles
    • Gestion de crise
    • Gestion d’attaques
  • Revoir les mécanismes de sécurité par un durcissement du poste pour ceux qui sont gérés de manière traditionnelle.
  • Implémenter de nouveaux mécanismes de sécurité comme ceux proposés par Windows 10. On peut notamment à Windows Defender Advanced Threat Protection (ATP) qui permet de faire du forensic. Vous pourrez donc facilement voir d’où est venu la brèche et comment la propagation a eu lieu. On peut aussi penser à Credential Guard et Device Guard.
  • Passer à un mode de gestion moderne qui permet d’assurer un cycle de mise à jour agile. Ceci peut être notamment le cas pour des populations à fort risque (nomades, mobiles, etc.)
Facebook Like