Explosion des rançongiciels, des vulnérabilités déjà connues

Wannacry a déjà fait 200 000 victimes dans 150 pays en exploitant une vulnérabilité du système Windows présente sur toutes les versions depuis XP jusqu’à Windows 10. Des contre-mesures préventives sont faciles à mettre en place à commencer par la mise à jour des patchs de sécurité et de l’antivirus sur les postes et serveurs.

Bien que Jaguar Network n’ait pas été touché par Wannacry, de nombreuses variantes (sans kill switch,…) existent déjà et il nous a semblé important de faire un point d’information.

Au sein de Jaguar Network, différents audits ont pu être lancés depuis le 27 avril sur la plupart des clients et nous avons pu communiquer sur les plateformes les plus à risque. Vous trouverez ci-après une synthèse des informations sur le sujet.

// Le virus - WannaCrypt !

Wannacrypt chiffre les données. En général, ce type de virus ne se propage pas rapidement mais allié à une exploitation d’une faille SMB (protocole Server Message Block) comblée en mars, il se propage très vite.

Vecteur de contamination ?
Principalement la première contamination passe par l'e-mail. Cependant, une fois contaminé, le virus va tester la faille sur les OS joignables après avoir testé une URL sur Internet.
Si le site n’est pas joignable, le virus commence à tester les PC dans son réseau.

Qu’est ce qui est chiffré ?
Tous les répertoires accessibles (mes documents, lecteurs réseaux, etc…)

Les OS concernés ?
Tous les OS jusqu’à 2012 R2 et Windows 8.1 inclus.
Microsoft a pris la décision de fournir les patchs pour Windows XP, Windows 8 et Windows 2003 Server.
Vous les trouverez ICI.


Windows 2000 Server est également concerné mais aucun patch ne sera fourni. Si vous en avez encore en production, Il faut donc les isoler.
Nous ne fournissons aucun patch pour Windows CE (il est fourni par le constructeur du device).

S’assurer que l’antivirus soit à jour sur l’ensemble des postes et serveurs
Il est également possible de mettre en place des scripts de vérifications pour s'assurer que les KB de sécurité ont bien été installées (nous contacter via votre compte extranet).

Listes de KB de sécurité à vérifier sur vos serveurs :
# KB4012212 - Windows Server 2008
# KB4012217 KB4015551 KB4019216 - Windows Server 2012
# KB4012216 KB4015550 KB4019215 - Windows Server 2012 R2
# KB4013429 KB4019472 KB4015217 KB4015438 KB4016635 - Windows Server 2016.


// Quelles sont les mesures complémentaires pour éviter la propagation ?

Les serveurs de fichiers sont les points faibles sur ce type de virus. Si un utilisateur à des droits en lecture/écriture sur un répertoire partagé, la contamination de son poste pourrait rendre toute l’arborescence du répertoire partagé chiffrée.

> Pour empêcher cela en attente du patching des serveurs et postes, l’une des mesures possibles est d’arrêter les partages sur les serveurs de fichiers. Pensez à préférer un arrêt temporaire de service plutôt que de prendre le risque d’avoir tous ses fichiers chiffrés. Cela doit rester une option à étudier.

> Il est possible d’arrêter le SMB V1 par GPO, la faille étant spécifique au SMB V1.
Cependant, ce protocole est encore actif sur de nombreux équipement (NAS, Switch, etc…),
ce qui risquerait de les rendre inaccessibles.

// Toute l'information supplémentaire sur WannaCrypt

Customer Guidance for WannaCrypt attacks
WannaCrypt ransomware worm targets out-of-date systems
WannaCrypt Ransomeware