IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Trois exploits de la NSA réécrits pour affecter toutes les versions de Windows
Lancées à partir de l'an 2000

Le , par Patrick Ruiz

297PARTAGES

13  0 
WannaCry et NotPetya sont les attaques qui ont le plus focalisé l’attention de la sphère du numérique en 2017. Ensemble, le rançongiciel et le wiper ont mis à mal des centaines de milliers d’ordinateurs de par le monde. Comme socle pour ces apocalypses, les concepteurs ont utilisé EternalBlue. Il s’agit d’un exploit basé sur une faille dans le protocole Server Message Block (SMB) utilisé pour le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows.

EternalBlue restera sûrement très célèbre pour ce « fait d’armes ». Mais, l’exploit attribué à l’agence nationale pour la sécurité des États-Unis (NSA) n’est pas le seul dans son arsenal. L’on présume que celui-ci a été dérobé à la NSA puis publié en avril 2017 en même temps que trois autres exploits par un mystérieux groupe dénommé Shadow Brokers. Moins connus parce que n’affectant qu’un nombre très limité d’anciennes versions de Windows, EternalSynergy, EternalRomance, et EternalChampion reviennent à la lumière du jour grâce à une publication de Sean Dillon. Le chercheur en sécurité qui travaille pour la firme de sécurité RiskSense annonce que des versions réécrites de ces exploits existent. Ces dernières peuvent être utilisées pour mener des attaques contre toutes les versions de Windows lancées entre les années 2000 et 2016.


Dillon s’est arrangé à modifier le code des exploits pour viser deux vulnérabilités qui existent dans toutes les versions de Windows ; on parle de failles SMBv1 référencées CVE-2017-0143 et CVE-2017-0146. Elles ouvrent toutes la porte à l’exécution de code à distance sur une cible. La version réécrite d’EternalSynergy exploite les deux vulnérabilités tandis qu’EternalRomance et EternalChampion exploitent respectivement les failles CVE-2017-0143 et CVE-2017-0146.

Le code des nouveaux exploits est disponible dans le cadre du Metasploit Framework, un projet en relation avec la recherche en matière de sécurité informatique. Les travaux de Sean Dillon ont déjà bénéficié d’une revue de ses pairs. « Énorme : un exploit SMB adapté pour tourner sur toutes les versions de Windows, de 2000 à Server 2016. Il est fiable et ne cause pas de BSOD (Blue Screen of Death) comme EternalBlue. J’ai essayé sur Win2000 et XP », a écrit Kevin Beaumont, un chercheur en sécurité basé à Manchester.

Du sourire donc aux lèvres des hackers qui auront matière à remuer un peu les méninges dans les jours à venir. Seulement, voilà qui met un peu plus de pression aux organisations qui n’ont pas encore appliqué les correctifs de sécurité relatifs aux failles CVE-2017-0143 et CVE-2017-0146 pourtant disponibles depuis mars 2017. Les patchs pour EternalBlue pour leur part le sont depuis avril 2017. De nombreuses organisations ont négligé l’application de ces correctifs dès leur publication et on a pu voir les conséquences dès le 12 mai 2017 : 213 000 infections au ransomware WannaCry dans 112 pays, ce, en trois jours.

Source

Metasploit framework

Votre opinion

Quelles précautions avez-vous prises pour vous prémunir des attaques basées sur l’exploitation des failles SMB depuis l’attaque au ransomware WannaCry ?

Voir aussi

Shadow Brokers : des exploits Windows et des preuves indiquant que le réseau SWIFT aurait été compromis par la NSA ont été mis en ligne
Shadow Brokers : les exploits de la NSA désormais disponibles via un service mensuel contre 22 000 $ en Zcash

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 07/02/2018 à 10:26
Citation Envoyé par MikeRowSoft Voir le message
Les choses les plus précieuses sont dans des clouds en redondances et ne devrait pas demander plus que 1 Go.
Ça dépend ce que tu créer.
Celui qui fait de la vidéo a besoin de plus d'1Go ^^ (déjà le 1080p c'est énorme, mais aujourd'hui certains font du 4k, voir 8k )
Il faut vraiment une connexion de taré pour uploader ça sur le cloud. (même une fois encodé c'est lourd, alors avant...)

C'est un peu moins lourd pour celui qui produit de la musique.
Mais il peut avoir une gigantesque collection de samples en WAVE et d'instruments. (bon à la limite les samples et les instruments ça se télécharge, sauf si le gars a fait ses propres samples)

Il y a des documents privés que ça peut faire chier de perdre (photos, vidéo).
Il faudrait faire développer ses photos et mettre les vidéos sur CD, DVD, Bluray.
2  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 07/02/2018 à 8:59
Citation Envoyé par Patrick Ruiz Voir le message
Quelles précautions avez-vous prises pour vous prémunir des attaques basées sur l’exploitation des failles SMB depuis l’attaque au ransomware WannaCry ?
Aucune...
Si mon PC devenais infecté je formaterais mon disque dur d'OS et mes disques durs de données, tant pis !

Citation Envoyé par Patrick Ruiz Voir le message
L’on présume que celui-ci a été dérobé à la NSA puis publié en avril 2017 en même temps que trois autres exploits par un mystérieux groupe dénommé Shadow Brokers.
J'aime bien quand des choses comme ça arrive.
1  1 
Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 07/02/2018 à 12:15
Citation Envoyé par MikeRowSoft Voir le message
Aucune, mes deux PC (Win10 et Win8.1) reçoivent les mises à jours de Microsoft. Mon téléphone Windows 10 Mobile lui aussi est à jour.
Celui que j'ai offert à ma mère est à jour tout comme son iPad (du moins depuis mon passage il y a environ un mois).

d’ailleurs les chiffres consécutif 77 reviennent souvent dans les adresses MAC Wi-Fi et Bluetooth de ces appareils...
Aucune : mes PC de production j'évite de les mettre sur internet déjà (sauf quand c'est pas possible)
Les correctifs Microsoft je compte plus le nombre de fois où des fonctionnalités ont été altérées je préconise de ne les faire
qu'avec beaucoup... beaucoup de précautions...

Le seul moyen que j'ai trouvé pour les PC Windows en production c'est des isoler sur un réseau à part
et de les isoler d'internet. Après si accès à distance nécessaire ben on monte des tunnels VPN et compagnie

Citation Envoyé par MikeRowSoft Voir le message


Les choses les plus précieuses sont dans plusieurs clouds en redondances et ne devrait pas demander plus que 1 Go par cloud.
Les autres, on peut faire appel à des "amis" via un forum ou canal irc ou les télécharger à nouveau auprès du fournisseur. Les torrents n'ayant pas de seed ne le sont pas toujours vraiment surtout quand le tracker est aussi un seed... DHT ?

[spoiler]
steam store, par exemple, ne demande pas de payer pour un deuxième téléchargement même ci c'est lors d'un changement de PC ou installation sur un second, d'où la popularité. par contre, la "steambox" manque de lumière pulsé et autre effet design attirant... Pour l'instant, SteamOS est bien la distribution Linux la moins discuté sur les forums même Linux... Alors la carte graphique intégrant les instruction Direct X 12 ne devrait normalement pas avoir de problème pour les recevoir directement d'un .exe... Qui a dit drivers ?
[/spoiler]
C'est bon pour faire muse muse à la maison. Je vois d'ici la tête certains de mes clients pour lesquels il y des données hautement confidentielles lorsque je dirais que je suis aller les
poser sur un Google Drive. ça va chier dans le ventilo je te le dis !
0  0 
Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 07/02/2018 à 12:22
Citation Envoyé par MikeRowSoft Voir le message
Aucune, mes deux PC (Win10 et Win8.1) reçoivent les mises à jours de Microsoft. Mon téléphone Windows 10 Mobile lui aussi est à jour.
Celui que j'ai offert à ma mère est à jour tout comme son iPad (du moins depuis mon passage il y a environ un mois).

d’ailleurs les chiffres consécutif 77 reviennent souvent dans les adresses MAC Wi-Fi et Bluetooth de ces appareils...
Aucune aussi à la maison d'ailleurs, j'évite d'utiliser Windows si je peux m'en passer. Les deux PC dont celui de mes enfants
sont sous Linux et ils ne sont pas plus dépaysés que ça, même ma femme arrive son shopping et son drive dessus et gérer
nos comptes bancaires sans problème et c'est loin d'être une pro de l'informatique...

J'ai déjà assez problème sous Windows au travail... (Même si j'aime bien mon Windows 7 Pro malgré tout)
0  0 
Avatar de
https://www.developpez.com
Le 07/02/2018 à 14:04
Ah ! Par contre bancaire... Bah... J'ai suivi la mode (principalement payement par Internet) sauf quand il s'agit de faire des modifications importantes, comme les procurations.
C'est ma mère qui s'en occupe physiquement avec le gestionnaire de la banque dans les locaux de la banque. Mais là cela dépend des "formules" proposé par les banques.
Je suis inscrit à trois banques, 3 françaises. Je crois bien qu'une seule a une de mes adresses courriels et tiens à avoir de mes nouvelles régulièrement.
Je vois même sur mon avis d’impôts que seul une seule attire vraiment l'attention et affiche une valeur qui n'est pas déductible d'impôts mais pas suffisant pour m'en faire payer...
Pourtant, je ne le leur avait pas signalé cela avant, sauf sur mon portail Pôle Emploi et la CPAM.

Sinon, je ne conseillerais aucunes banques en ce monde... Même ci une des banques où je ne suis pas, la BRED, propose un service de payement par Internet plutôt intéressent.
La "banque" que propose Air France KLM tout comme PayPal sont un bon "masque" sur le principe, surtout en déplacement internationale...

[spoiler]
Pas même la banque de Laposte ou la société générale. Et cela malgré le fait que j'ai une adresse courriel Laposte... NetCourrier aurait très bien pu en faire autant...
Aux malheureux plus de souffrances ?
Franchement, si un riche veux y mettre quelques finances, je ne pourrai rien lui donner qui ne correspond pas à un retrait possible via la même méthode numérique que peut-être un RIB...
[/spoiler]
0  0 
Avatar de
https://www.developpez.com
Le 07/02/2018 à 8:49

[...]
Quelles précautions avez-vous prises pour vous prémunir des attaques basées sur l’exploitation des failles SMB depuis l’attaque au ransomware WannaCry ?
[...]
Aucune, mes deux PC (Win10 et Win8.1) reçoivent les mises à jours de Microsoft. Mon téléphone Windows 10 Mobile lui aussi est à jour.
Celui que j'ai offert à ma mère est à jour tout comme son iPad (du moins depuis mon passage il y a environ un mois).

d’ailleurs les chiffres consécutif 77 reviennent souvent dans les adresses MAC Wi-Fi et Bluetooth de ces appareils...
0  1 
Avatar de
https://www.developpez.com
Le 07/02/2018 à 10:18
Citation Envoyé par Ryu2000 Voir le message

Si mon PC devenais infecté je formaterais mon disque dur d'OS et mes disques durs de données, tant pis !


Les choses les plus précieuses sont dans plusieurs clouds en redondances et ne devrait pas demander plus que 1 Go par cloud.
Les autres, on peut faire appel à des "amis" via un forum ou canal irc ou les télécharger à nouveau auprès du fournisseur. Les torrents n'ayant pas de seed ne le sont pas toujours vraiment surtout quand le tracker est aussi un seed... DHT ?

[spoiler]
steam store, par exemple, ne demande pas de payer pour un deuxième téléchargement même ci c'est lors d'un changement de PC ou installation sur un second, d'où la popularité. par contre, la "steambox" manque de lumière pulsé et autre effet design attirant... Pour l'instant, SteamOS est bien la distribution Linux la moins discuté sur les forums même Linux... Alors la carte graphique intégrant les instruction Direct X 12 ne devrait normalement pas avoir de problème pour les recevoir directement d'un .exe... Qui a dit drivers ?
[/spoiler]
0  2 
Avatar de
https://www.developpez.com
Le 07/02/2018 à 11:07
La plus part du temps c'est juste le temps d'une vie humaine, sauf quand il s'agit de travail. Et donc donc d'être utile et réutilisé.
Ce qui est réutilisé qu'une seule fois est parfois beaucoup plus précieux que ce que l'on veut bien croire.

Je pari que Microsoft serait intéresser de savoir ou il pourrait déposer des updates de Windows et des autres applications et que cela soit le Cloud de mon opérateur qui fasse l'upload et reupload et reulpoad et etc... dans le cas de réinstallations et autres...
0  2