X

News Partenaire

8 décideurs IT sur 10 se dirigent vers le Cloud

Paessler AG, spécialiste innovant en surveillance du réseau, a publié des résultats de nouvelles recherches sur le Cloud Computing et la façon dont les décideurs informatiques mondiaux (ITDM) l'utilisent pour répondre aux exigences du monde des affaires en constante évolution. Paessler a enquêté sur plus de 2000 ITDM ; dont 1280 chez des entreprises de moins de 500 employés.


Petya : l'analyse de NetXP

L'ESN NetXP a livré sa propre analyse de l'attaque Petya. Nous reproduisons ici la tribune de Vladimir Kolla, Responsable de la Practice Sécurité au sein de l'entreprise, qui reprend et complète certaines informations déjà publiées par nos soins.

Vecteur d’infection

Contrairement au ver WannaCry qui se contentait d’infecter les cibles accessibles avec le protocole de partage de fichiers de Microsoft SMB, Cette fois-ci, le vecteur n'est pas confirmé mais deux hypothèses sont évoquées :

une campagne de phishing à l’origine de l’infection;
la compromission d'un éditeur tier et la distribution de mises à jours malveillantes.
Ceci demande encore confirmation, mais dans le cas du phishing, si les analyses ne se mélangent pas avec une autre attaque, il débuterait par une classique pièce jointe Office exploitant la vulnérabilité CVE-2017-0199 et dans des fichiers RTF.

RTF (Rich Text Format) est un vieux format de document de Microsoft, toujours supporté par Word mais avec la particularité d’être, un peu comme HTML, un langage de mise en forme, contenant du texte, des images... 

Voici un exemple simpliste de document RTF affichant « NetXP » : 
{\rtf1\ansi\deff0
{\colortbl;\red0\green0\blue0;\red255\green0\blue0;}
NetXP\line }

La vulnérabilité, découverte par FireEye en début d’année et corrigée en avril, permet de contourner le mode protégé d’Office (mode protégé), non pas en exécutant une macro, mais en permettant d’activer un objet OLE, directement à l’ouverture du document, sans la moindre alerte. Il devient alors possible de faire appel à un objet OLE allant télécharger quelque chose sur Internet et c’est ce que fait ce nouveau ver : il va télécharger un fichier HTA pour HTML Application, permettant d’exécuter le vrai code malveillant et ainsi de prendre le contrôle de l’ordinateur. De nombreux outils ont fait leur apparition, permettant de créer son propre document malveillant exploitant cette vulnérabilité.

Ici, sur github. Dans MetaSploit : exploit/windows/fileformat/officewordhta

Pour faire simple : l’utilisateur ouvre un document Word ou Excel envoyé en pièce jointe d’un mail, sans aucune alerte ni blocage, Word ou Excel va télécharger le fichier HTA sur un des sites ci-dessous, puis l’exécuter.

Pivot

Une fois le poste infecté, après certaines étapes non encore identifiées, le ver essaie de se propager sur le réseau (pivot latéral). 

Incorporant des morceaux de l’outil Mimikatz, il est capable de récupérer des éléments d’authentification en mémoire et de les réutiliser avec le protocole de gestion Microsoft WMI pour s’exécuter sur une autre cible 

Parmi les chaînes de caractères présentes dans le ver, on peut trouver des lignes de commande WMIC avec les paramètres permettant l’exécution à distance, authentifiée :
-d C:\Windows\System32\rundll32.exe "C:\Windows\%s",#1
wbem\wmic.exe 
%s /node:"%ws" /user:"%ws" /password:"%ws" process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\%s\" #1 \\%s\admin$ \\%ws\admin$\%ws

Il incorpore également l’outil de Microsoft « Sysinternals PsExec » pour tenter de progresser sur le réseau, tout comme nous l’utilisons parfois lors d’audits. 

Enfin, il semblerait qu’il tente d’exploiter la vulnérabilité sur le protocole de partage de fichiers de Microsoft « SMB », déjà exploitée par le rançongiciel de mars (WannaCry) et donc corrigée par le bulletin MS17-010.

Par contre, toujours pas d’information sur une possible élévation de privilège local ou un contournement de l’UAC ni sur la présence d’une « time bomb ».

Time bomb ?

Bien que non encore confirmé, l’apparition en même temps sur de nombreux ordinateurs d’entreprises différentes laisse penser à la présence d’une « time bomb », c’est-à-dire l’infection de la cible mais la mise en sommeil de la charge active jusqu’à la date fatidique de l’activation. 

Ce point reste donc à confirmer ou infirmer. 

Dans le cas de la compromission d'un éditeur tiers, la simultanéité s'expliquerait d'elle même.

« Kill Switch »

Les exemples du virus analysés cherchent la présence d’une librairie dans le répertoire c:\windows, indiquant que la cible est déjà compromise. A lire ici
Je n’ai pas trouvé de façon sûre ce nom, mais il semblerait que cela soit c:\windows\core.dll ou c:\windows\perfc.dat ou C:\windows\perfc

C’est étrange que le nom soit en dur dans le code et ne soit pas lié à l’environnement infecté.

Il serait envisageable de déployer en urgence (par GPO par exemple) des fichiers vides nommés comme ci-dessus pour parer à toute infection supplémentaire, mais je doute que cela soit efficace très longtemps.

Bitcoins

Le portefeuille Bitcoin des criminels est celui-ci. 

A cet instant, les criminels ont récupéré 3.155 bitcoins, c’est-à-dire 6680 euros

IoC

Voici quelques adresses IP liées à ce ver. Il peut être intéressant de regarder dans ses logs Proxy et Firewall si des accès ont été réalisés : 
185.165.29.78 
84.200.16.242 
111.90.139.247 
95.141.115.108 (Correspondant au domaine french-cooking.com 😉)

Le Github de « Vulners Team » inclut un certain nombre d’autres éléments techniques.

Que faire ?

Depuis hier, nous sommes sur le pont avec un certains nombre de nos clients. 

Parmi les premières actions, tout comme pour WannaCry, il nous semble important de mettre à jour ses systèmes - s’il ne l’étaient pas - mais aussi toutes ses solutions de sécurité liées aux flux des utilisateurs (Antivirus, Proxy, Passerelles mail, IDS/IPS...).

Il faut en parallèle communiquer rapidement auprès des utilisateurs, si ce n’est pas déjà fait, sans non plus créer de panique. Il est peut être intéressant d’interdire l’ouverture de pièce jointe provenant d’internet, tout du moins pendant la journée.

En cas d’infection, il faut naturellement couper les ressources infectées du réseau et faire une veille très attentive sur ce qui sera publié dans les prochaines heures.

A noter que si les analyses de Kaspersky et Talos sont justes, il est impossible de déchiffrer.

Ensuite, il faudra reconstruire ses postes de travail ou serveurs, sans doute revoir le durcissement de ses systèmes, remettre à plat ses procédures de mises à jour pour essayer de déployer les correctifs de sécurité plus rapidement (ce qui n’est pas forcement aisé suivant les contextes), peut être envisager de limiter les flux entre les utilisateurs et revoir (mettre en place?) le cloisonnement de ses serveurs en n'ouvrant que le strict nécessaire.

Réparer son boot ?

En cas d’infection, où le virus aurait eu accès aux privilèges « administrateur » et cassé le disque, il semblerait qu’il soit possible de récupérer le disque et les fichiers, avec les commandes suivantes en démarrant sur une clef USB ou un autre média, avec l’outil BootRec de Microsoft accessible dans le menu de récupération du démarrage :
bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot

Nous n’avons pas testé cette solution, donc nous ne connaissons pas les effets en bord, en particulier en cas de disque précédemment chiffré par Bitlocker ou toute autre solution. 

De plus, étant donné qu’il faut un accès physique au poste (ou serveur), il semble irréaliste d’utiliser cette méthode si de nombreux postes ont été compromis.

Vladimir Kolla, responsable de la Practice Sécurité chez NetXP


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité

Actuellement à la Une...
Dossier L'1FO

Stockage Cloud : des services en pleine mutation

Tout le monde utilise à titre privé ou professionnel un service de stockage dans le cloud. L’espace de stockage est le paramètre le plus évident pour comparer ces services. Néanmoins bien d’autres critères doivent être considérés pour choisir le cloud auquel on accordera toute sa confiance. Article paru dans le n°158 de L'Informaticien.

Afficher tous les dossiers
Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur la rubrique Emploi avec notre partenaire



LIVRES BLANCS

Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Comment choisir la solution de surveillance réseau adéquate ?  Un Livre Blanc Paessler.

Pour que son infrastructure informatique lui donne entière satisfaction, toute entreprise doit pouvoir compter sur un réseau haute performance. Pour maintenir la fluidité des procédures, tous les processus doivent fonctionner de manière fluide, y compris les communications internes et externes entre sites de l’entreprise, ainsi qu’avec les clients et partenaires. Les dysfonctionnements et pannes des processus opérationnels provoquent facilement des pertes de temps et surtout d’argent.


Stockage Flash : 1 000 utilisateurs témoignent, un Livre Blanc HPE.

1 000 responsables informatiques ont été interrogés à l'initiative d'HPE afin de relater les "surprises", bonnes et mauvaises qu'ils ont rencontré lors du déploiement puis l'utilisation de solutions de stockage Flash. L'essentiel des configurations et des utilisations ont été passées en revue pour ce qui constitue la plus grande enquête jamais réalisée sur ce thème et qui permet à chacun de préparer au mieux sa propre voie d'évolution, ceci en évitant les écueils qu'ont pu rencontrer les professionnels interrogés. 


Tous les Livres Blancs
Le Kiosque

SMART CITY : de l'IT pour piloter les villes - Maîtrisez Windows 10 CREATORS UPDATE - Mettons les robots dans les nuages ! - Comment le BACKUP se réinvente - Créez un projet ARDUINO avec Circuito - Rencontre avec David Fayon : « Comment la France peut devenir la tête de pont du numérique en Europe »...

 

STOCKAGE CLOUD : un casse-tête pour la DSI ! - Règlement européen RGPD : la parole aux entreprises qui s'y mettent - Microsoft Build : toutes les annonces - Wanacrypt : récit d'une cyberattaque historique - French Tech Brest+ - Nginx, nouveau standard de serveur web - Chatbots : l'interface de demain ?...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
Le président américain Donald Trump et le PDG d'Apple, Tim Cook, lors d'une rencontre à la Maison Blanche, le 19 juin 2017 à WashingtonLe président américain Donald Trump a indiqué mardi que le géant informatique Apple lui avait promis d'ouvrir trois usines aux Etats-Unis, dans un entretien au Wall Street Journal (WSJ). [Sommaire]

Le géant technologique Google demande à la justice américaine de bloquer une décision de la Cour suprême canadienne qui le contraint à déréférencer au niveau mondial des pages de résultats de recherches sur internetLe géant technologique Google a demandé à la justice américaine de bloquer une décision de la Cour suprême canadienne qui le contraint à déréférencer au niveau mondial des pages de résultats de recherches sur internet, même lorsque celles-ci ne sont pas effectuées au Canada. [Sommaire]

Une publicité d'Adobe dans la presse américaine pour inciter Apple à autoriser son logiciel Flash Player sur ses appareils, le 13 mai 2010Le groupe informatique américain Adobe a annoncé mardi l'arrêt d'ici trois ans de son logiciel Flash Player, qui permet depuis près de 20 ans de lire des vidéos et des jeux vidéos. [Sommaire]

Le milliardaire de la Silicon Valley Elon Musk (SpaceX, Tesla) à Washington DC le 19 juillet 2017L'intelligence artificielle représente-t-elle un danger pour l'humanité ? Les milliardaires de la Silicon Valley Elon Musk (SpaceX, Tesla) et Mark Zuckerberg (Facebook) ne sont pas du tout d'accord, comme l'illustrent leurs échanges sur les réseaux sociaux. [Sommaire]

Paint nest pas mort, affirme MicrosoftFace à l'émotion provoquée par l'annonce de l'arrêt programmé de son vieux logiciel de dessin et de traitement d'image Paint, né en 1985 en même temps que Windows, Microsoft a précisé qu'il resterait disponible sur son Windows Store. [Sommaire]

La France souhaite régler à l'amiable son différend fiscal avec GoogleLe gouvernement français a annoncé une possible "transaction" pour régler le différend fiscal qui l'oppose à Google. Mais les chances de voir l'Etat obtenir gain de cause semblent limitées, depuis l'annulation par la justice du redressement infligé à la firme américaine. [Sommaire]

Les ventes d'accessoires pour tablettes, qui avaient fléchi l'an passé, ont rebondi de 71%Le groupe suisse Logitech, spécialisé dans les accessoires informatiques, a publié mardi des chiffres meilleurs qu'attendu pour le premier trimestre, notamment grâce aux produits pour tablettes et aux équipements de vidéo-conférence, et a relevé ses objectifs.  [Sommaire]

Une employée de Bamilo, site de commerce en ligne iranien, à Téhéran, le 9 juillet 2017Leurs noms sont peu connus mais les services qu'ils proposent immédiatement reconnaissables: Snapp est la version iranienne d'Uber, Digikala est son Amazon et Pintapin son Booking.com. [Sommaire]

Bernard Charlès, dirigeant de Dassault Systèmes, lors du lancement du 3DExperience Lab, à Velizy-Villacoublay en banlieue parisienne, le 9 novembre 2015L'éditeur français de logiciels industriels Dassault Systèmes a annoncé mardi avoir conclu avec Boeing le plus gros contrat de son histoire, afin de modéliser toute la chaîne de l'avionneur américain, de la conception à la production et au service après-vente. [Sommaire]

Bruxelles a infligé une amende record à  Google pour abus de position dominante, d'un montant de 2,42 milliards d'eurosAlphabet, la maison mère de Google, a publié des résultats trimestriels supérieurs aux attentes mais plombés par l'amende infligée en juin par l'Union européenne pour abus de position dominante. [Sommaire]

Toutes les dépêches AFP

AgendaIT

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 22 au 27 juillet 2017 à Las Vegas (Mandalay Bay). Organisé par UBM.

IFA

Le plus grand salon professionnel européen de l'électronique grand public a lieu à Berlin du 3 au 6 septembre 2017. Organisé par Messe Berlin.

SALONS SOLUTIONS

Les Salons Solutions - ERP, CRM, BI et Big Data, E-Achats, Demat'Expo, Serveurs & Applications - se tiennent du 26 au 28 septembre 2017 à Paris, Porte de Versailles. Organisés par Infopromotions.

MICROSOFT EXPERIENCES'17

Deux jours de conférences et 10000 m2 d'espaces d'échange pour s'immerger dans les innovations du numérique les 3 et 4 octobre 2017 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Microsoft.

SMART CITY + SMART GRID

Exposition, contérences et ateliers, le salon de la ville et des territoires intelligents, durables et connectés Smart City + Smart Grig se tient les 4 et 5 octobre 2017 à Paris, Porte de Versailles (Pavillon 2.2). Organisé par Infopromotions.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 11 au 14 octobre 2017. Organisées par DG Consultants.

MOBILITY FOR BUSINESS

7ème édition de Mobility for Business, le salon des solutions mobiles pour une meilleure transformation digitale des entreprises, les 17 et 18 octobre 2017 à Paris Porte de Versailles (Hall 5.1). Organisé par Infopromotions.
Voir tout l'AgendaIT