Trois choses que les entreprises peuvent faire contre Petya
Hier, une attaque de la redoutable famille de ransomware Petya a frappé les entreprises de plus de 60 pays. L’ampleur de l’attaque, ainsi que la nature des cibles — des entreprises — a incité à la comparaison avec l’épidémie WannaCry du mois dernier.
Les deux attaques ont certes des similarités, mais elles ont aussi des différences notables dont les entreprises doivent avoir connaissance si elles veulent pouvoir bien se protéger. Voici quelques faits qu’elles doivent garder à l’esprit.
Petya utilise votre propre identifiant contre vous
L’une des techniques que Petya utilise pour se répandre est d’accéder aux identifiants de l’administrateur. Plusieurs techniques sont possibles. Une fois l’accès obtenu, le malware peut sauter de machine en machine en utilisant les mécanismes standards de Windows.
Solution : selon Jarno Niemelä, Lead Researcher au sein du Laboratoire F-Secure, les entreprises doivent rester particulièrement prudentes en matière de mots de passe administrateurs tant qu’elles ne sont pas certaines d’avoir mis en place toutes les mesures de protection nécessaires.
« Les entreprises concernées doivent demander à leurs employés d’éviter de se connecter sur les stations de travail avec des identifiants disposant des privilèges administrateurs », explique Jarno. « S’ils doivent le faire, ils doivent redémarrer le système après avoir terminé la tâche à effectuer. Les organisations doivent aussi s’assurer que tous les ordinateurs disposant de comptes administrateurs locaux utilisent des mots de passe uniques pour ces comptes. »
Petya ne dispose pas seulement de l’exploit SMB pour se répandre
EternalBlue est un exploit développé par la NSA qui tire profit d’une vulnérabilité dans le protocole SMB, utilisé par la plupart des versions de Windows. Un patch pour cette vulnérabilité est disponible et, bien entendu, les entreprises doivent l’installer sans tarder si elles ne l’ont pas déjà fait.
Il devient pourtant clair que la variante actuelle de Petya dispose de techniques supplémentaires pour se répandre. Patcher la vulnérabilité SMB utilisée par WannaCry n’est donc pas suffisant pour prévenir cette infection.
Petya uses the NSA Eternalblue exploit but also spreads in internal networks with WMIC and PSEXEC. That's why patched systems can get hit.
— @mikko (@mikko) June 27, 2017
Les autres vecteurs d’infection ont recours à des processus Windows légitimes. Petya tente d’exécuter le ransomware via PSEXEX et WMIC, des outils administratifs Windows. Il y parvient grâce aux identifiants administrateurs (comme mentionné ci-dessus).
Solution : Selon Tom Van de Wiele, Principal Security Consultant chez F-Secure, il existe plusieurs précautions que les entreprises peuvent prendre pour se protéger :
- Créez le fichier C:windowsperfc et désactivez les droits lire/écrire sur toutes les machines Windows. Petya ne devrait pas infecter votre machine s’il voit ce fichier.
- Remplacez le recours au fichier psexec.exe : Créez une clé nommée « psexec.exe » dans HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options, puis créez une valeur REG_SZ baptisée « Debugger » et associez-la à “svchost.exe”. De cette manière, le psexec réel ne sera pas lancé.
- Désactivez l’utilisation des comptes locaux AD / GPO pour l’identification à distance afin de désactiver le combo psexec/wmic
- Désactivez WMIC dans Windows dans la mesure du possible, partout où il n’est pas nécessaire.
- Les requêtes Firewall entrantes jusqu’à 135/tcp (winrpc) pour les requêtes wmic.
- Les requêtes Firewall entrantes jusqu’à 445/tcp (cifs) pour les requêtes entrantes Eternalblue, ce qui devrait déjà être le cas après WannaCry.
Petya est qualifiée d’attaque de la chaîne d’approvisionnement
Nous comprenons désormais un peu mieux comment Petya se déplace sur le réseau. La manière dont l’infection initiale a lieu reste toutefois à éclaircir. Certains rapports suggèrent qu’elle vient d’une mise à jour malveillante d’un logiciel proposé par une entreprise ukrainienne de logiciels de comptabilité.
Peut-être les systèmes du fournisseur étaient-ils infectés, peut-être les pirates ont-ils été capables d’infecter les clients de ce fournisseur via une attaque de type « man-in-the middle ».
« Les attaques de la chaîne d’approvisionnement visent un type de clients spécifique à travers le service qu’elles utilisent », explique Andy Patel, Technology Expert chez F-Secure. « Via ces attaques semi-ciblées, de nombreuses entreprises ou individus peuvent s’infiltrer au cours d’une seule opération. Dans le cas de l’attaque Petya qui a eu lieu hier contre des cibles ukrainiennes, nous ne savons pas si l’infrastructure de M.E.Doc a été victime d’une intrusion ou si les mises à jour ont été proposées aux victimes via une attaque de type man-in-the-middle. »
Par ailleurs, une attaque via la chaîne d’approvisionnement n’explique pas comment le malware a pu se répandre si rapidement aux quatre coins du globe. Seule certitude : de nombreuses entreprises n’y étaient pas préparées. Il s’agit là d’un problème évident qu’elles doivent résoudre.
Solution : Le fait que ces attaques soient ciblées les rend plus difficiles à repérer. La meilleure défense est de mettre en place un système de détection des intrusions efficace. Rapid Detection Service de F-Secure, par exemple, détecte tout fichier malveillant présentant un comportement suspect une fois sur le réseau.
De nombreuses solutions de sécurité, notamment celles de F-Secure, offrent aux entreprises de multiples manières de se protéger contre les diverses tactiques, techniques, et procédures employées dans de telles attaques. Rendez-vous sur ce blog post pour plus d’informations.
Catégories