Top 5 Atténuations Wanna Cry

L’épidémie de ransomware WannaCry (.WNCRY, Wana Decrypt0r 2.0) est certainement l’événement de cybersécurité le plus effrayant de 2017. Jusqu’à présent le ransomware a compromis les systèmes de Telefonica en Espagne, ainsi que plusieurs hôpitaux au Royaume-Uni. Cela a également affecté les machines nationales de services de santé en Angleterre et en Écosse.

Comme suggéré par de multiples sources, le NHS et d’éventuelles autres organisations ont également été touchés car ils exécutaient Windows XP sans support sur des milliers d’ordinateurs.

Il y a quelques jours, Kaspersky Lab a souligné que l’attaque “est lancée grâce à une exécution de code à distance SMBv2 dans Microsoft Windows. Cet exploit (codé “EternalBlue”) a été mis à disposition sur internet à travers des Shadowbrokers divulgués le 14 avril 2017 et corrigés par Microsoft le 14 mars.

Comme nous l’avons déjà écrit, EternalBlue et DoublePulsare sont en effet des exploits utilisés par l’organisation qui diffuse WannaCry. Les exploits ont été divulgués en ligne quelque part autour des vacances de Pâques par The Shadow Brokers. Cet exploit traite principalement des problèmes dans les systèmes Windows, de sorte que toute personne qui ne soit toujours pas infectée par ce virus est vivement invitée à sauvegarder ses systèmes et à le mettre à jour.

Cela étant dit, MS17-010 est un correctif pour les versions plus récentes de Windows, comme Windows 7 et Windows 8.1, Windows Server 2008, Windows Server 2012 et Windows Server 2016 inclus.

Étant donné que le ransomware évolue continuellement et modifie ses modes de distribution, les atténuations contre lui sont plus importantes que jamais.

Ne bloquez pas les domaines associés à WannaCry Ransomware

Selon le Centre de cybersécurité national britannique:

Les travaux réalisés dans le domaine de la recherche sur la sécurité ont empêché un certain nombre de compromis potentiels. Pour bénéficier de cela, un système doit être capable de résoudre et de se connecter au domaine ci-dessous au point de compromis.
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Contrairement à la plupart des infections malveillantes, votre service informatique ne doit pas bloquer ce domaine.

En plus de ne pas bloquer les domaines WannaCry, les experts en sécurité s’accordent sur 5 étapes d’atténuation communes qui devraient être adoptées tant par les utilisateurs domestiques que par les administrateurs informatiques.

MS17-010 Doit être installé

Comme expliqué par Microsoft, «la mise à jour de sécurité répond aux vulnérabilités en corrigeant la façon dont SMBv1 gère les demandes spécialement conçues». Il est extrêmement important que toutes les mises à jour du système soient installées une fois qu’elles sont disponibles. C’est un excellent moyen de prévenir les infections déclenchées par le défaut MS17-010. Gardez à l’esprit que si votre système n’a pas été mis à jour avec ce correctif, il devrait être retiré de tous les réseaux dès que possible.

Le Patch Windows d’urgence devrait être installé

Apparemment, Microsoft a publié des mises à jour de sécurité d’urgence pour plusieurs systèmes d’exploitation qu’il ne supporte plus pour aider les organisations à se protéger contre l’épidémie imparable de ransomware WannaCry.

SMBv1 Devrait être désactivé

Selon le NSCS, s’il n’est pas possible d’appliquer ces correctifs, SMBv1 doit être désactivé. Voici comment le faire.

SMBv1 Devrait être bloqué

Comme une méthode alternative, les ports SMBv1 devraient être bloqués sur les périphériques de réseau – UDP 137, 138 et TCP 139, 445 – comme recommandé par le NCSC.

Arrêt complet des systèmes vulnerables

Si l’une des solutions énumérées ci-dessus n’est pas disponible, le NCSC recommande de terminer les systèmes vulnérables. “Si ces étapes ne sont pas possibles, la propagation peut être évitée en fermant les systèmes vulnérables”, a suggéré l’organisation.

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.