Qualys, un fournisseur de solutions de sécurité et de conformité dans le Cloud, offre un service gratuit pendant 30 jours aux entreprises pour qu’elles puissent “identifier, suivre et remédier les actifs pouvant être impactés par le malware WannaCry“, indique-t-il dans un communiqué.
Les ressources d’analyse illimitées se déploient via sa plate-forme dans le Cloud. L’offre fournit des rapports et un tableau de bord pour visualiser en temps réel l’impact sur les actifs et suivre les efforts de remédiation.
Contenu de l’offre de Qualys :
- Vulnerability Management – Fonctionnalités complètes d’analyse via des scanners réseau ou des agents Cloud pour permettre aux entreprises d’identifier rapidement et avec précision les actifs vulnérables ou infectés par WannaCry.
- ThreatPROTECT – Accès d’un seul clic au tableau de bord des actifs impacté via le fil d’informations en temps réel sur les menaces qui renseigne sur les toutes dernières menaces et fournit une analyse détaillée d’ETERNALBLUE et de WannaCry.
- AssetView – Localisation et suivi des actifs Windows anciens et actuels impactés par ces exploits dans des widgets dynamiques.
- Continuous Monitoring – Création d’alertes pour suivre toute infection WannaCry apparaissant sur le réseau de l’entreprise.
- Analyse d’un nombre illimité d’adresses IP
- Déploiement d’un nombre illimité d’appliances de scanner virtuel ou d’agents Cloud
Les détections par signature Qualys pour WannaCry concernent les ID Qualys (QIDs) suivants :
- QID 91345 – Vulnérabilité d’exécution de code à distance (MS17-010) sur Serveur Microsoft SMB (Server Message Block) et Shadow Brokers
C’est le 14 mars dernier que Qualys s’est intéressée à ce patch manquant pour les plateformes supportées, soit un mois avant le dump du groupe de hackers Shadow Brokers. Ce QID a été actualisé pour détecter aussi les nouveaux patches pour les versions de Windows en fin de vie (EOL).
- QID 91360 – Exécution de code à distance sur les protocoles Microsoft Windows SMBv1 et NetBIOS sur TCP/IP (NBT) – Vulnérabilité MS17-010 (ETERNALBLUE) Shadow Brokers
Qualys a immédiatement ajouté ce QID suite à la publication Shadow Brokers en date du 14 avril pour détecter aussi la vulnérabilité exploitée par ETERNALBLUE sur toutes les plateformes Windows. Ce QID a également été mis à jour pour ne pas lancer d’alertes si les patches EOL ont été installés.
- QID 70077 – Backdoor Double Pulsar détecté (Shadow Brokers)
Détecte la présence du backdoor DOUBLEPULSAR sur lequel WannaCry peut s’appuyer pour se propager.
- QID 1029 – Ransomware WannaCrypt détecté. Détecte WannaCry et permet de déclencher des alertes suite à de nouvelles infections.
Auteur : Pierre Saire