Accueil Cybersécurité Nouvelle faille Windows : la crainte d’un autre WannaCry

Nouvelle faille Windows : la crainte d’un autre WannaCry

ransomware Wannacry
Marcus Hutchins avait aider à stopper Wannacry en 2017. Ce ransomware bloque l'accès aux fihciers, les crypte puis demande une rançon

Microsoft a lancé une alerte : une nouvelle faille de sécurité critique semblable à WannaCry pourrait être utilisée pour créer une nouvelle variante de malware.

Wannacry, c’était il y a deux ans. L’attaque était d’ampleur mondiale (lire un de nos articles de l’époque : Exclusif – WannaCry et politique de mise à jour : 7 experts nous répondent). Cette nouvelle faille de sécurité aura-t-elle la même incidence ? Celle-ci est « une vulnérabilité des services Bureau à distance (Terminal Server), qui permet à un pirate non authentifié de se connecter au système cible via Bureau à distance (RDP) et d’envoyer des demandes spécialement conçues pour exécuter du code à distance. Cela pourrait donner lieu à un événement international d’un niveau équivalent à WannaCry », explique Chris Goettl, Director Product Management, Security chez Ivanti. La faille concerne Windows XP, Windows Vista, Windows 7 et les versions serveurs correspondantes comme Windows Server 2003, Windows Server 2008 R2 et Windows Server 2008. Les mises à jour se trouvent uniquement si vous consultez le catalogue Windows Update.

Une attaque probable ?

Selon Dagobert Levy, vice-président, France et Europe du Sud de Tanium, « Bien qu’aucune exploitation de la faille n’ait été encore détectée à ce jour, il est plus que probable que cela arrive rapidement. »
« Concernant WannaCry, nous ne sommes pas à l’abri d’un nouvel événement, indique de façon plus large Karl Buffin, directeur des Ventes Europe du Sud chez Skybox Security. L’année dernière, 32 vulnérabilités ont affecté Windows, et avaient des similarités avec celles exploitées par WannaCry. En théorie, chacune de ces vulnérabilités, si elles sont exposées, peuvent être utilisées pour une attaque globale. »
Pour Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky Lab, le risque est réel et surtout imminent. Il estime que l’attaque pourrait voir le jour d’ici moins d’un mois. “ Il est très probable qu’une attaque, si elle doit se produire, ait lieu dans les semaines qui viennent. J’estime que ce scénario est très probable », indique-t-il.

L’exploitation de la faille expliquée

Pour exploiter cette vulnérabilité, comme décrit par Microsoft, un cybercriminel aurait simplement besoin d’envoyer des paquets spécifiques sur le réseau d’un système vulnérable équipé de RDS sans authentification préalable, selon le chercheur. « En analysant le patch de sécurité de Microsoft, il est possible d’exploiter les informations disponibles pour créer un logiciel malveillant. Bien sûr, la vulnérabilité n’est exploitable que si RDS est disponible et fonctionne ; les entreprises équipées d’un pare-feu et d’autres outils de sécurité qui bloquent le service sont protégées. Cependant, si un criminel accédait dans un premier temps au réseau interne de l’entreprise, ces défenses tomberaient. C’est pourquoi il est important de mettre à jour tous les systèmes concernés et de rester vigilant. »

Comment se protéger 

Il est avant tout urgent d’appliquer les correctifs, d’autant que diverses études, dont une de Tanium, ont montré qu’une très grande majorité de DSI et RSSI français avaient déjà renoncé à appliquer des patchs de sécurité par crainte de l’impact sur l’activité commerciale de l’entreprise. Ce qu’Ivan Kwiatkowski corrobore : « La réalité de la gestion d’un parc informatique d’entreprise est complexe ; les correctifs peuvent parfois être appliqués très tardivement, voire jamais. WannaCry l’a prouvé en tirant profit d’une faille vieille d’un mois. Les criminels le savent bien et cela leur offre une courte fenêtre d’opportunité pour exploiter cette faille, qui se réduit un peu plus avec chaque jour qui passe et chaque nouvelle mise à jour effectuée.

Si pour une raison ou une autre, une entreprise ne peut pas utiliser le patch édité par Microsoft, Kaspersky recommande d’activer l’authentification au niveau du réseau, qui ajoute un niveau de protection contre une exploitation possible de la faille. « Cela n’empêchera pas complètement une attaque, mais nécessitera de la part des attaquants de s’authentifier avant d’utiliser le système », précise Ivan Kwiatkowski. « Il est également conseillé de désactiver et bloquer automatiquement RDS, mais également mettre en place une surveillance interne afin de détecter des tentatives de propagation sur le réseau qui feraient suite à une attaque réussie. Par sécurité, les entreprises doivent également toujours s’assurer que leurs procédures de sauvegarde / reprise sont en place et à jour. »   Enfin, il faut désactiver tout service qui n’est pas effectivement utilisé.