Le risque encouru ? Les entreprises et particuliers pourront subir l’installation et propagation d’un logiciel malveillant de type rançongiciel, voire, à terme, d’autres logiciels malveillants.
Concernant le vecteur de propagation, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (qui est rattaché à l’Agence nationale de la sécurité des systèmes d’information ou ANSSI) a précisé que l’ANSSI ne dispose pas à cette heure de preuves suffisantes permettant de définir de façon certaine le vecteur initial d’infection. Le vecteur d’infection initial pourrait utiliser des méthodes d’hameçonnage exploitant la vulnérabilité CVE-2017- 0199. Dans ce cas, un fichier de type rtf est en pièce jointe du courriel. Une fois ouvert, ce fichier télécharge un document Excel qui à son tour récupère le logiciel malveillant.
Microsoft indique que le logiciel de paiement de taxe MEDoc pourrait être un des vecteurs initiaux d’infection via une mise à jour automatique. Lors de son installation, le rançongiciel vérifie la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au rançongiciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l’API CredEnumerateW.
Le rançongiciel dispose de plusieurs capacités pour se propager sur le réseau :
- en utilisant les identifiants récupérés sur la machine ;
- en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).
« La ressemblance avec Petya n'est que superficielle », a noté le spécialiste en sécurité informatique The Grugq. « Bien qu'il y ait un partage significatif de code, le vrai Petya était une entreprise criminelle établie pour gagner de l'argent. Ce [dernier logiciel malveillant] n'est certainement pas conçu pour gagner de l'argent. Il est conçu pour se répandre rapidement et causer des dégâts, avec une couverture plausiblement invalidable de ransomware. »
Certains analystes ont trouvé des traces de Petya dans ce nouveau ransomware, d’autres ont plutôt trouvé des souches de GoldenEye. Aussi, en attendant d’avoir plus d’informations, certains ont décidé de le baptiser Petya/NotPetya.
Voici un résumé de la campagne de piratage de Petya/NotPetya.
- Le logiciel malveillant utilise un tas d'outils pour se déplacer dans un réseau, en infectant les machines au fur et à mesure. Il utilise une version modifiée de l’outil open source Minikatz pour extraire les informations d'identification des administrateurs réseau hors de la mémoire en cours d'exécution de la machine. Il utilise ces détails pour se connecter et exécuter des commandes sur d'autres machines en utilisant PsExec et WMIC pour les infecter.
- Il utilise également une version modifiée de l'exploit EBSBlue SMB de la NSA, précédemment utilisé par WannaCry, en plus de l'exploit EternalRomance SMB (également de la NSA) pour infecter d'autres systèmes en leur injectant un code malveillant. Il s’appuie sur des vulnérabilités qui ont été corrigées par Microsoft plus tôt cette année, de sorte que le vol d'identification a plus de chances de réussite sur des machines qui n’ont pas effectué la mise à jour.
- Le logiciel cherche à obtenir un accès administrateur sur une machine, puis tire parti de ses privilèges pour commander d'autres ordinateurs sur le réseau : il profite du fait que nombreuses sont les entreprises qui se servent de configuration réseaux dans lesquelles un administrateur sur un point final peut contrôler d'autres machines, ou alors il récupère les informations d'identification de l'administrateur de domaine en mémoire, jusqu'à ce que le contrôle total sur le réseau Windows soit atteint.
- Une façon d'obtenir un accès administratif est d'utiliser les exploits NSA. Une autre façon est de faire passer le logiciel malveillant pour une mise à jour sur une suite d'applications en cours d'exécution en tant qu'administrateur ou administrateur de domaine, ce qui va provoquer l’exécution du logiciel malveillant sur le réseau de l'entreprise avec de grands privilèges. Il est entendu que Petya/NotPetya est entré dans les réseaux d'entreprise en tant qu'administrateur via une mise à jour logicielle détournée par un outil de logiciel fiscal ukrainien et par courrier électronique de phishing.
- Avec l'accès à l'administrateur, le logiciel malveillant peut réécrire le Master Boot Record (zone d’amorçage) du disque dur de la station de travail locale, il peut également chiffrer les tables et les fichiers du système de fichiers sur le lecteur. NotPetya utilise AES-128 pour chiffrer les données.
Le CERT-FR recommande :
- l’application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17- 010 ;
- le respect des recommandations génériques relatives aux rançongiciels ;
- de limiter l’exposition du service SMB, en particulier sur internet ;
- respecter le principe de moindre privilège pour les utilisateurs, afin de limiter l’élévation de privilèges et la propagation latérale de l’attaquant ;
- de ne pas payer la rançon. En outre, les mesures suivantes permettraient de limiter la propagation des souches aujourd’hui identifiées :
- empêcher l’exécution de PSExec sur les machines,
- empêcher la création de processus à distance par WMI,
- empêcher l’exécution de C:\Windows\perfc.dat,
- créer un fichier vide C:\Windows\perfc.
De manière préventive, s’il n’est pas possible de mettre à jour une machine, il est recommandé de l’isoler logiquement, voire de l’éteindre le temps d’appliquer les mesures adaptées de protection. La désactivation du protocole SMBv1 peut être un plus, mais ne saurait remplacer l’installation des correctifs.
Source : bulletin d'alerte CERT-FR (au format PDF), The Grugq
Et vous ?
Qu'en pensez-vous ?