Ransomware WannaCrypt : Microsoft publie en urgence des MàJ de sécurité pour ses OS
XP reçoit ainsi son premier patch en trois ans

Le , par Stéphane le calme, Chroniqueur Actualités
Les entreprises, les gouvernements et les particuliers dans 99 pays à travers le monde ont été victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hôpitaux en Angleterre, des entreprises telles que Telefónica en Espagne, ou même des écoles et universités.

Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le déverrouillage des fichiers qu’il a chiffrés, une rançon qui double après trois jours. Les utilisateurs sont également menacés de voir tous leurs fichiers supprimés en permanence si la rançon n'est pas payée dans l’intervalle d’une semaine.

Le logiciel malveillant s’appuie sur une faille de Windows exploitée par la NSA pour ses opérations d’espionnage et que Microsoft avait colmatée en mars 2017. Cette faille a fait l'objet de l'un des outils qui ont fuité en avril au nom de code EternalBlue. Les pirates ont vite fait de se servir de cette information à leur profit. Selon le CCN-CERT, l’équipe nationale d'intervention en cas d'urgence informatique de l'Espagne, c’est grâce à cette faille que le ransomware peut se propager aussi vite.

Répertoriée MS17-010, la faille réside dans le service Windows Server Message Block (SMB), sur lequel les ordinateurs Windows comptent pour partager des fichiers et des imprimantes sur un réseau local. Les logiciels malveillants qui exploitent les défauts de SMB pourraient être extrêmement dangereux au sein des réseaux d'entreprise, car le composant de partage de fichiers peut aider le système de ransomware à se propager rapidement d'une machine infectée à une autre.

Microsoft réagit

« Aujourd'hui, beaucoup de nos clients à travers le monde et les systèmes critiques dont ils dépendent ont été victimes du logiciel malveillant "WannaCrypt". Voir les entreprises et les personnes touchées par les cyberattaques, comme celles rapportées aujourd'hui, était pénible. Aussi, Microsoft a travaillé tout au long de la journée pour nous assurer que nous avons compris l'attaque et pris toutes les mesures possibles pour protéger nos clients », a expliqué vendredi dernier Phillip Misner, un gestionnaire principal du groupe de sécurité du Microsoft Security Response Center (MSRM).

« En outre, nous prenons l'étape très inhabituelle consistant à fournir une mise à jour de sécurité pour tous les clients afin de protéger les plateformes Windows qui sont uniquement en support personnalisé, y compris Windows XP, Windows 8 et Windows Server 2003. Les clients qui utilisent Windows 10 n'ont pas été ciblés par l'attaque aujourd'hui », a-t-il poursuivi.

Une autre option d’atténuation ?

Selon des chercheurs en sécurité, le code du ransomware contient un kill switch qui semble fonctionner comme suit : si le programme malveillant ne peut pas se connecter à un nom de domaine non enregistré, il procédera à l'infection. Si la connexion réussit, le programme arrête l'attaque. Un chercheur en sécurité, qui répond au pseudonyme MalwareTech, a constaté qu'il pouvait activer le kill switch en enregistrant le domaine Web et en publiant une page dessus.

L'intention originale de MalwareTech était de suivre la propagation du ransomware dans le domaine auquel il contactait. « Il nous est apparu que l'un des effets secondaires de l'enregistrement du domaine a empêché la propagation de l'infection », a-t-il déclaré dans un courriel.

L’entreprise de sécurité Malwarebytes et le groupe de sécurité Talos de Cisco ont signalé les mêmes résultats et ont déclaré que les nouvelles infections de ransomware semblent avoir ralenti depuis que le kill switch a été activé.

Cependant, le chercheur de Malwarebytes, Jérôme Segura, a déclaré qu'il était trop tôt pour dire si le kill switch empêcherait les attaques de Wana Decryptor pour de bon. Il a prévenu que d'autres versions de la même souche de ransomware peuvent avoir été déployées et ont corrigé le problème du kill switch ou sont configurées pour contacter un autre domaine Web.

Malheureusement, les ordinateurs déjà infectés par Wana Decryptor resteront infectés, a-t-il regretté.

Le ransomware a été conçu pour fonctionner dans de nombreuses langues, y compris l'anglais, le chinois et l'espagnol, avec des notes de rançon dans chacune d'entre elles.

Segura a conseillé aux victimes de ne pas payer la rançon parce qu'elle encourage les pirates. Au lieu de cela, il dit qu'ils devraient attendre les prochains jours tandis que les chercheurs en sécurité étudient le code du ransomware et tentent de trouver des moyens gratuits de résoudre l'infection.

Nouvelles variantes du ransomware :

Comme le supposaient les chercheurs, de nouvelles variantes sont apparues. Matt Suiche, Microsoft MVP, a confirmé qu’il y en avait deux types : avec un kill switch (cette fois-ci un nouveau domaine non enregistré qu’il a pu bloquer en enregistrant le nom de domaine) et sans le kill switch, qui semble ne fonctionner que partiellement. « Le fait que la variante sans le kill-switch ne fonctionne que partiellement est probablement une erreur temporaire des pirates. Rappelez-vous, même si la décompression du ransomware ne fonctionne pas, la diffusion par ETERNALBLUE & DOUBLEPULSAR quant à elle fonctionne toujours », a rappelé Matt Suiche.

Et de souligner que « Le fait que j'ai enregistré le nouveau kill-switch aujourd'hui pour bloquer les nouvelles vagues d'attaques n'est qu'un soulagement temporaire qui ne résout pas le problème réel, à savoir que de nombreuses entreprises et infrastructures critiques dépendent toujours des systèmes d'exploitation existants et qui ne sont plus supportés », a-t-il conclu.

Source : Microsoft, nouvelles variantes, Malwarebytes, Talos Cisco


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 15/05/2017 à 2:35
Citation Envoyé par marsupial Voir le message

edit : et tu verras, cette mentalité d'exploiter les failles en lieu et place de les signaler afin d'être corrigées va nous retomber sur le coin de la figure maintenant que leurs outils sont dans la nature. Parce que wikileaks détient une grande partie mais pas l'intégralité des outils donc toutes ne seront pas colmatées.
Citation Envoyé par marsupial Voir le message

Bref, reprendre le contrôle de la situation maintenant que la boîte de Pandore a laissé échapper le Diable ne va pas être une mince affaire.
Avatar de Tristan107 Tristan107 - Futur Membre du Club https://www.developpez.com
le 15/05/2017 à 6:40
J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqué le patch de mars sont infectées, ou bien si le patch a été contourné.
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 15/05/2017 à 9:31
Citation Envoyé par Tristan107 Voir le message
J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqué le patch de mars sont infectées, ou bien si le patch a été contourné.
Patché ou pas, si les gens n'ouvraient pas n'importe quel mail et pièce jointe, ça n'arriverait pas, c'est un gros problème d'éducation informatique.
Avatar de SkyZoThreaD SkyZoThreaD - Membre expérimenté https://www.developpez.com
le 15/05/2017 à 9:36
Citation Envoyé par Tristan107 Voir le message
J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqué le patch de mars sont infectées, ou bien si le patch a été contourné.
Bien que nirgal76 n'ait pas tord, il ne répond pas à la question
Le patch n'est pas contourné. Il semble que crosoft n'avait pas poussé ce patch sur toutes les versions de windows. Maintenant que c'est fait, les machines patchées devraient être safe.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 15/05/2017 à 9:48
Citation Envoyé par nirgal76 Voir le message
Patché ou pas, si les gens n'ouvraient pas n'importe quel mail et pièce jointe, ça n'arriverait pas, c'est un gros problème d'éducation informatique.
C'est un des axes de réflexions de cette affaire.

Il y en a 2 autres :

- les effets pervers de laisser les agences de renseignement faire de la merde sans aucun contrôle extérieur.
- l'éducation des dirigeants d'entreprises sur l'importance d'attribuer les budgets / priorités opérationnelles nécessaires aux admins sys / devops pour leur permettre de faire leur taf.

Voilà, du côté des méchants rien de bien neuf sinon l'ampleur de l'attaque.
Avatar de Rokhn Rokhn - Membre habitué https://www.developpez.com
le 15/05/2017 à 10:12
Citation Envoyé par SkyZoThreaD Voir le message
Bien que nirgal76 n'ait pas tord, il ne répond pas à la question
Le patch n'est pas contourné. Il semble que crosoft n'avait pas poussé ce patch sur toutes les versions de windows. Maintenant que c'est fait, les machines patchées devraient être safe.
Ouaip crosoft n'avait pas fait les patchs pour les OS "officiellement" non supportés. Mais vu l'ampleur des dégâts, ils ont poussés les patchs pour XP et Serv2K3.

On peut voir que l'attaque de l'année dernière n'a pas fait assez de bruits vu l'impact de celle-ci. Un patch, pour les machines récentes, publié il y a 2 mois de cela... Pas de sauvegardes pour la plus part des services touchés et des utilisateurs ouvrant toutes les pièces jointes, et vous avez un ransomware/worm qui fait des ravages !
Avatar de mh-cbon mh-cbon - Membre actif https://www.developpez.com
le 15/05/2017 à 11:00
lol : ) tous ces Responsables me font doucement rigoler avec leurs trois pièces.
Ils sont assis sur une bombe qui vas leurs péter à la tête.

Faut y penser deux secondes, une vaste majorité des systèmes déployés
le sont en utilisant des pièces logiciels construites
avec des outils d'un temps ancien où les failles étaient monnaies courantes.
Certains dirait structurelle, c'est dire à quel point c'était inadapté.

Pris dans ses propres contradictions capitalistique,
son désir de laisser fairisme, sa hargne pour le capital,
le bougre à laissé se développer une situation
qui ne fait que se révéler pire d'année en année.

L O L, qu'ils s’étouffent avec leurs cravates

M'enfin pour le fun faut pousser plus loin la logique,
c'est parce que le monde informatique c'est standardisé n'importe comment,
à la manière de l'omc ou de l'ue qui standardise nos vies,
que le fléau du cracking à pu prendre une ampleur suffisante
pour que n'importe qui puisse en faire un business viable
dans une démarche totalement capitaliste.

Je m'en vrille les neurones tellement je trouve tout cela fendard.
Avatar de John Bournet John Bournet - Membre confirmé https://www.developpez.com
le 15/05/2017 à 11:11
Citation Envoyé par nirgal76 Voir le message
Patché ou pas, si les gens n'ouvraient pas n'importe quel mail et pièce jointe, ça n'arriverait pas, c'est un gros problème d'éducation informatique.
Dans ce cas précis, il s'agirait plutôt d'une diffusion via EternalBlue
Bien sûr, ça n'empêche pas les problèmes liés à l'insouciance face aux pièces jointes, la plus grosse faille de sécurité restant l'utilisateur qui ne sait pas précisément ce qu'il fait.
Avatar de devman1 devman1 - Candidat au Club https://www.developpez.com
le 15/05/2017 à 11:23
Aujourd'hui Microsoft veut embarquer des systèmes linux sous windows, afin de faire passer des utilisateurs des deux systèmes sous windows. J'espère que des situations comme celle-ci vont révéler au grand jour le problème des licences propriétaires pour les entreprises, les mastodontes comme Microsoft abandonne les versions des systèmes afin de forcer les clients à migrer vers des nouvelles versions qui demande encore des investissements colossaux pour se mettre à niveau.
Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 15/05/2017 à 11:48
La question que je me pose: "comment est-il possible qu'il y ait toujours autant de trous de sécurité depuis le temps que cet OS/soft existe?"

Normalement, quand c'est corrigé ça devrait drastiquement réduire les problèmes.
Contacter le responsable de la rubrique Accueil