X
La diversité une valeur fondatrice

News Partenaire

La diversité une valeur fondatrice

Alex Dayon nous explique pourquoi la diversité et l’égalité sont des valeurs fondamentales au sein de Salesforce et de quelle manière elles participent à de meilleures performances dans les équipes qui encouragent la diversité. L’égalité des salaires entre hommes & femmes est également un enjeu crucial qui nécessite des actions continues.

Petya/NotPetya : l’exploit EternalRomance au centre du ransomware (MàJ)

Même si l’impact du ransomware semble relativement limité, l’attaque en elle-même est techniquement intéressante dans la mesure où elle utiliserait une variante de l’exploit EternalRomance notamment. 

« Nous pouvons confirmer que des versions modifiées des exploits EternalBlue & EternalRomance sont utilisés pour la propagation de la menace sur les réseaux d’entreprise ». Kaspersky est sûr de son fait et à mesure que les heures défilent, les informations sur Petya/NotPetya, qui vient aussi d’être renommé ExPetr, affluent. 

Toutefois, ce qui suit est encore à prendre avec des précautions car le ransomware est scruté à la loupe actuellement par des dizaines d’experts à travers le monde. Il semble cependant désormais presque certain que malgré certaines similitudes avec Petya (qui date de 2016), ExPetr possède en fait des fonctionnalités bien différentes. 

Par ailleurs, le ransomware (peu importe son nom) est aussi différent de la récente attaque Wanacrypt qui a fait des dégâts ces dernières semaines. C’est surtout le mode de propagation donc qui diffère : ExPetr se diffuserait uniquement via le protocole SMB de Windows mais sur un réseau local. Cela confirmerait l’exploit d’EternalRomance, lui aussi issu du leak de Shadow Brokers à la NSA. 

Propagation via MeDoc et grâce à Mimikatz

Alors que Wanacrypt s’est déployé avec un effet boule de neige, la propagation de ExPetr semble plus lente. En fait, elle serait survenue via le hacking d’un logiciel ukrainien de comptabilité baptisé « MeDoc ». Les pirates auraient utilisé la fonctionnalité de mise à jour automatique pour diffuser le malware/ransomware sur tous les postes utilisant ledit logiciel. L’information selon laquelle MeDoc est le vecteur initial n’est pas encore confirmée et l’éditeur nie les faits. 

(Mise à jour 28/06/2017 12:26) : Microsoft confirme que le vecteur de contamination était bien le logiciel MeDoc

Les informations sur cette image ne sont pas vérifiées, mais elles sont confirmées par certains experts. Crédit @thedefensedude

Enfin, ExPetr se serait aussi propagé sur les réseaux locaux via WMIC (Windows Management Instrumentation Commandline) et en recueillant des informations grâce à l’utilisation de l’outil Mimikatz qui propose une fonction de « pass-the-hash ». Il a d’ailleurs été créé par le Français Benjamin Delpy qui confirme, après un reverse engineering, que certains fichiers ont été recompilés avec Mimikatz. 

Les trois vecteurs de propagation

Pour résumer, il existe trois vecteurs de propagation de ExPetr. Tout d’abord contre le mécanisme de mise à jour de MeDoc comme expliqué plus haut. Fortunato Guarino de Guidance précise que lors de son installation, le rançongiciel vérifie la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au rançongiciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l'API CredEnumerateW. Le rançongiciel dispose de plusieurs capacités pour se propager sur le réseau:

  • en utilisant les identifiants récupérés sur la machine
  • en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010)

Après propagation, le malware force un redémarrage de la machine via une tâche planifiée. Un message est alors affiché indiquant qu'une vérification de l'intégrité des disques est en cours. Le rançongiciel serait en fait en train de chiffrer la MFT (Master File Table). Cela rend inaccessible les fichiers présents sur la machine. Enfin, le malware s'installe à la place du secteur de démarrage de Windows afin d'afficher le message de rançon.

Inutile de payer pour recevoir la clé, le serveur de réception a été neutralisé, donc vous ne recevrez aucune clé en retour de votre paiement ! 

Le deuxième vecteur est un exploit modifié EternalBlue visant le service Windows SMBv1, aussi utilisé par WannaCry et les vulnérabilités Microsoft CVE-2017-0146 ; Windows SMB Remote Code Execution Vulnerability ; Microsoft CVE-2017-0147: Windows SMB Information Disclosure Vulnerability; Microsoft CVE-2017-0143: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0145: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0148: Windows SMB Remote Code Execution Vulnerability; Microsoft CVE-2017-0144: Windows SMB Remote Code Execution Vulnerability).

Enfin, le troisième vecteur est un exploit Eternel Romance 1.3.0, un code d’exécution ciblant les OS Windows XP, 2003, Vista, 7,8, Windows 2008 et 2008 R2 sur le port 445 (Bulletin de sécurité et patch Microsoft MS17-010). D’où la propagation très rapide à travers les réseaux sur des organisations comme Auchan, SNCF, Saint-Gobain ou le géant publicitaire WPP en ce qui concerne uniquement la France.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider


A votre avis...

THD filaire partout !

THD filaire partout !

Yann Serra
Du gigabit Ethernet déployé à partir d’un simple tableau électrique permet, pour moins de 250 €, de desservir une douzaine de postes en TPE, dans un point de vente, ou en habitation.

Mobilité indoor

Mobilité indoor

Disposer d’une connexion mobile haut débit à l’intérieur d’un local n’est pas toujours chose aisée. Plusieurs centaines de communes françaises demeurent en zones blanches, les nouveaux...

Cryptoradiateur

Cryptoradiateur

Chauffer gratuitement et écologiquement des bâtiments et des logements grâce à la chaleur issue de serveurs informatiques ! C’est ni plus ni moins la promesse magique de Qarnot Computing.

RSS
Afficher tous les dossiers

LOGICIELS D'ENTREPRISE : UNE TRANSFORMATION PROFONDE - Licences logicielles : éditeurs/entreprises, le clash ! - La 5G sort des labos - Windows Subsystem for Linux - Recherche désespérément ingénieurs système - 3 solutions pour booster le réseau WiFi - Rencontre avec Serge Tisseron : nous devons savoir à tout moment avec qui/quoi nous interagissons...

 

BÂTIR LA MAISON INTELLIGENTE - GitHub by Microsoft + alternatives - FIDO2, l'après mot de passe - Open Street Map alternative à Google Maps ? - Java 10/Java 11 ne loupez pas le train - Marseille, 1er port numérique européen ? - OpenClassrooms : l'e-learning "non élitiste" à la conquête du monde...

 

DOSSIER ANTI-VIRUS : chronique d'une mort annoncée... ou mutation profonde ? - DPO/DPD : notification des violations de données personnelles - Tribune Philippe Loudenot - Entretien avec Isabelle Falque-Pierrotin, Présidente de la Cnil - Aspects juridiques du Bug Bounty - Reportage au X-Force Command center IBM à Wroclaw - Cylance, le nouveau trublion - MOOC Anssi - Portrait Manuel Dorne alias "Korben"...

 

Afficher tous les derniers numéros

Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


PROTECTION ENDPOINT NEXT-GEN : ÉVOLUTION OU RÉVOLUTION ?, un Livre Blanc SOPHOS.

Après la révolution Next-Gen Firewall de ces dernières années, une nouvelle révolution Next-Gen est cours dans le domaine de la sécurité des systèmes Endpoint. Au-delà du débat pour savoir s’il s’agit d’une révolution ou d’une simple évolution, il est certain qu’une série de nouvelles technologies est en train de rapidement émerger, en apportant une contribution significative à la lutte contre les menaces avancées.


En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Aujourd’hui, les entreprises doivent ouvrir leur SI à un nombre toujours plus important de prestataires extérieurs, d’abord pour réduire le budget informatique – recours à des prestataires externes pour des compétences qui ne font pas partie du cœur de métier de la DSI - ensuite pour gagner en rapidité dans le déploiement de nouvelles solutions.

  


Tous les Livres Blancs
Derniers commentaires
Une propriété en vente à Pasadena, le 20 juin 2018 en CalifornieJames et Candace Butcher allaient enfin acheter la maison dont ils rêvaient pour leurs vieux jours en faisant un virement électronique de 272.000 dollars. Mais quelques heures plus tard, la somme s'était volatilisée. [Lire la dépêche...]

Le président américain Donald Trump, le 21 septembre 2018 à Springfeld, dans le MissouriLa Maison Blanche examinerait un projet de décret donnant instruction aux agences fédérales de mener une enquête antitrust sur les pratiques des plateformes de médias sociaux, comme Google, Facebook ou Twitter, selon un document obtenu par l'agence Bloomberg News. [Lire la dépêche...]

La Colombie est le premier pays où peut être utilisé Dating, site du réseau social Facebook permettant à ses abonnés de rencontrer des personnes aux intérêts similaires, a annoncé le groupe américain. [Lire la dépêche...]

Des employés de Google ont voulu contrer le décret migratoire de Trump, selon le Wall Street JournalDes employés de Google ont discuté de stratégies pour contrer le décret migratoire de Donald Trump empêchant l'entrée aux Etats-Unis de ressortissants de pays à majorité musulmane, en favorisant des contenus proposant de l'aide à ces personnes, révèle vendredi le Wall Street Journal. [Lire la dépêche...]

Précurseur de l'ère des podcasts et programme radiophonique le plus téléchargé de l'histoire, l'émission américaine Précurseur de l'ère des podcasts et programme radiophonique le plus téléchargé de l'histoire, l'émission américaine "Serial" a mis en ligne jeudi le premier épisode de sa troisième saison, consacré à des affaires judiciaires ordinaires à Cleveland. [Lire la dépêche...]

Des visiteurs jouent aux anciens jeux vidéo, au Tokyo Game Show, le 21 septembre 2018Ce n'est pas ce qui épate le plus, mais à en juger par la gaieté de ceux qui s'y adonnent au Tokyo Game Show, les jeux vidéo rétro des années 80 ont un vrai public, ravi que les fabricants remettent leurs premières consoles au goût du jour. [Lire la dépêche...]

Une intervention chirurgicale, le 22 août 2017 à Shanghai, en ChineDes machines qui interprètent des pulsations cardiaques ou des radiographies: en Chine, des entreprises technologiques misent sur l'intelligence artificielle et le "big data" pour aider le pays à affronter une pénurie de médecins. [Lire la dépêche...]

L'un des dirigeants d'Amazon, Dave Limp, présente des nouvelles fonctionnalités de l'assistant vocal Alexa à seattle, le 20 décembre 2018Déjà présent un peu partout dans la maison, l'assistant vocal Alexa passe désormais au micro-ondes, entre autres nouvelles prouesses annoncées jeudi par Amazon, qui a aussi assuré que son appareil était désormais en mesure d'avoir une personnalité. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

DREAMFORCE

Salesforce convie ses utilisateurs et partenaires à sa conférence annuelle Dreamforce du 25 au 28 septembre 2018 à San Francisco (Moscone Center). Organisée par Salesforce.
Journée de partage d’expériences sur l'IA, la Blockchain, l'Internet des Objets, le Cloud, la Sécurité, le 9 octobre 2018 à Paris (Carrousel du Louvre). Organisée par IBM.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 10 au 13 octobre 2018. Organisées par DG Consultants.
RSS
Voir tout l'AgendaIT