Wannacry

Historique

En mars dernier, le groupe ShadowBrokers a publié la clef permettant de déchiffrer une archive publiée auparavant et contenant documents et outils de la NSA. Parmi ces outils, se trouvaient des exploits permettant de compromettre des systèmes Windows (mais pas que) à partir de vulnérabilités non connues de Microsoft, dites 0-days.
En particulier, il s’y trouvait des vulnérabilités sur le service SMB de partage de fichiers de Microsoft (utilisé souvent en entreprise, dès que vous accédez à vos partages réseau).
Lors de leur publication, ces vulnérabilités avaient été qualifiées de « wormable », c’est-à-dire qu’elle pouvait être inclues dans un ver qui pourrait s’auto-répliquer grâce à elles.

Des vulnérabilités « wormable » et non corrigées permettant de prendre le contrôle de système Windows à distance, cela aurait pu être le fin du monde mais :

  • Une bonne pratique est de ne pas exposer ce type de service sur Internet (mais on trouve encore sur internet près de 3 millions de services SMB exposés);
  • Miraculeusement, le bulletin de sécurité de Microsoft de mars MS17-010 corrigeait ces vulnérabilités.

Le ver WannaCry

La vie étant ce qu’elle est, de nombreux systèmes vulnérables perdurent :

  • Des systèmes obsolètes et ne bénéficiant plus de correctifs de sécurité comme Windows XP, Windows 2003 et Windows 8 ;
  • Des caisses de paiement, bornes d’achat, vitrines, distributeurs... sous Windows XP Embedded POSReady pour Point Of Sale (Supporté jusqu’en 2019) mais peu souvent mis à jour ;
  • Des systèmes supportés mais non mis à jour (Windows 7, 8.1, 10, Windows Serveur 2008, 2012, 2016) ;
  • Des postes ou serveurs infectés par la porte dérobée (backdoor) de la NSA, nommée DoublePulsar.

Ce qui devait arriver arriva : vendredi dernier, un ver nommé WannaCry a commencé à faire son apparition, exploitant une de ces vulnérabilités et réutilisant la porte dérobée de la NSA.
Une fois un système infecté, le ver cherche à se répliquer aux alentours. En plus de se répandre très rapidement, il incorpore une fonctionnalité de type rançongiciel ou cryptolocker, chiffrant les fichiers (en leur ajoutant une extension « .WNCRY ») et demandant une rançon en Bitcoins pour les déchiffrer avec cet écran d’alerte :

alt

A cet instant, plus d’une centaine de personnes ont payé la rançon et les criminels ont ainsi pu récolter près de $72,000.

Voici leur adresses Bitcoins :

Devant l’ampleur des dégâts et sans doute face à la mauvaise image induite par ce ver, Microsoft a décidé de publier en urgence un correctif pour ses systèmes non supportés : Windows XP et Windows Serveur 2003.

Fait singulier, le ver WannaCry contient une fonctionnalité, un temps considérée comme un « kill switch » (ou bouton rouge d’arrêt), mais pouvant être une technique de détection de sandbox, ces environnements utilisés pour la détection de malware.
Si le ver réussit à atteindre le domaine uqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (les nouvelles versions du ver ont évolué sur ce point), alors il stoppe son activité car certaines sandbox peu évoluées émulent internet en répondant à tous les domaines et services.
Un jeune anglais faisant de l’analyse de malware (MalwareTech) a alors déposé le domaine en y associant un serveur web, stoppant ainsi une partie des infections.

Voici quelques articles techniques intéressants sur le sujet :

Impacts en interne et chez nos clients

Parmi nos clients (grands comptes et middle market), amis et en interne il n’y a quasiment pas eu de victime en dehors d’un ou deux petits sous-traitants.
Mais pourquoi ?
J’y vois trois raisons.

La première est liée à la médiatisation et au fait que la plupart des DSI de taille suffisante ont démarré dès vendredi soir une gestion de crise (War, CSIRT...) avec :

  • Campagne de mise à jour forcées des différents serveurs et postes de travail ;
  • Pour certains, blocage par GPO de la version vulnérable du protocole de partage de fichier SMB v1 ;
  • Mise à jour des différentes solutions de sécurité (passerelles de messagerie, proxy, antivirus des postes et serveurs, sondes de détection d’intrusion...) ;
  • Mise en alerte des équipes de surveillance réseau et sécurité (NOC et SOC) si existantes, avec prise en charge des différents indicateurs de compromission (IoC) publiés au fil de l’eau.

La seconde raison (et peut-être la plus injuste) est la taille et la préparation des DSI et RSSI, car :

  • Des politiques de sécurité existent et même si parfois elles datent un peu, elles ont le mérite d’exister ;
  • En général, les postes de travail et serveurs Windows sont mis à jour assez rapidement, même si cela peut prendre jusqu’à 2 ou 3 mois ;
  • Il n’y a pas ou peu de systèmes non supportés par Microsoft (Windows XP, 8 et 2003). On trouve parfois des serveurs 2003 mais souvent cloisonnés et des caisses ou distributeurs Windows XP PoS mis à jour ;
  • Aucun service SMB n’est exposé sur internet ;
  • Des sauvegardes sont réalisées et des tests de restauration sont effectués au moins une fois par an ;
  • Et enfin, pour certains :
    • Une surveillance sécurité est réalisée par un SOC. Dans notre cas, il s’agit de notre SOC interne C-Watch;
    • Les salariés sont régulièrement sensibilisés à la sécurité par des communications internes et des campagnes d’hameçonnage / phishing. Dans notre cas, ceci est géré par notre RedTeam ;
    • Les salariés reçoivent quotidiennement une revue de l’actualité sécurité et des risques majeurs du moment. Dans notre cas, ceci est géré par notre CSIRT.

Ces derniers points ne garantissent pas une sécurité à 100% mais aident à se prémunir d’une grande partie des attaques et à détecter les compromissions.

Enfin, la troisième raison, à prendre avec des pincettes car il est encore tôt, est plutôt technique et liée au ver, car il ne semble pas adapté à des systèmes d’information d’entreprise avec du cloisonnement et de multiples contrôles de sécurité :

  • Le vecteur d’infection semble être SMB, ce qui nécessite que les premières cibles soient joignables par internet ou par des réseaux infectés ;
  • Le vecteur de propagation est la vulnérabilité sur SMB, il faut donc que ce service soit accessible à une source infectée ou internet.

La bonne nouvelle

C’est peut-être difficile à entendre pour ceux ayant passé une week-end difficile, que ce soit pour mettre en place les correctifs ou traiter les cas d’infection ou encore pour ceux ayant perdu des données, mais cette attaque est une bonne chose car elle aura sans doute permis une prise de conscience massive et cela aurait pu être bien pire. Peut-être comme l’a été l’attaque par déni de service de Mirai en 2016.

L’informatique d’entreprise est un élément crucial auquel est lié son économie mais c’est également un facteur différenciant, un levier de croissance.
Toute entreprise a besoin économiquement de son informatique.
Qui peut aujourd’hui travailler ne serait-ce qu’une journée sans internet ou sans mail ou sans PC ou sans ses applications métier ?

De plus, l’informatique (au sens large) est un vrai facteur différenciant :

  • Si Google est numéro un, c’est en partie parce qu’ils ont mis les moyens dans ce domaine mais je ne vais pas parler à leur place.
  • Une grande banque française est aujourd’hui l’une des meilleures, en partie du fait de son cœur, développé dans les années 80/90 et aux capacités transactionnelles inégalées.
  • Instagram gérait des centaines de serveurs et des millions d’utilisateurs avec juste 3 ingénieurs maîtrisant leur outils et ayant tout industrialisé.

De ce fait, il est important de prendre en compte la sécurité, quelle que soit sa taille et ses moyens, il en va de la vie et de l’image de son entreprise. Cela démarre par l’application des bonnes pratiques comme le guide d’hygiène de l’ANSSI pour aller vers une gestion plus large de la sécurité (analyse de ses risques, politique de sécurité1, standards opérationnels, procédures, référentiels, contrôles, cloisonnement, mises à jour, supervision sécurité, gestion de crise... ) et surtout, des femmes et des hommes pour gérer cette sécurité.

La sécurité des systèmes d’information évolue, à son rythme, mais j’ai de l’espoir !

[^1] A noter qu’il n’est pas obligatoire de sortir les ISO 27000 et que même à petite taille, il est possible de gérer sa sécurité.