X

News Partenaire

De l’ITSM à l’ESM

A partir de son activité de gestion de parcs, EasyVista a créé un moteur de gestion d’actifs et de gestion des processus. C’est aujourd’hui ce qui permet aux clients de gérer le cycle de vie de ces actifs : depuis l’initialisation jusqu’au provisionning ou la mise à disposition à l’utilisateur. C’est un tout cohérent de production de services. Grâce à ces solutions, le Service Informatique peut analyser les besoins des utilisateurs, identifier les solutions, les services et les mettre à disposition des utilisateurs.

Petya : l'analyse de NetXP

L'ESN NetXP a livré sa propre analyse de l'attaque Petya. Nous reproduisons ici la tribune de Vladimir Kolla, Responsable de la Practice Sécurité au sein de l'entreprise, qui reprend et complète certaines informations déjà publiées par nos soins.

Vecteur d’infection

Contrairement au ver WannaCry qui se contentait d’infecter les cibles accessibles avec le protocole de partage de fichiers de Microsoft SMB, Cette fois-ci, le vecteur n'est pas confirmé mais deux hypothèses sont évoquées :

une campagne de phishing à l’origine de l’infection;
la compromission d'un éditeur tier et la distribution de mises à jours malveillantes.
Ceci demande encore confirmation, mais dans le cas du phishing, si les analyses ne se mélangent pas avec une autre attaque, il débuterait par une classique pièce jointe Office exploitant la vulnérabilité CVE-2017-0199 et dans des fichiers RTF.

RTF (Rich Text Format) est un vieux format de document de Microsoft, toujours supporté par Word mais avec la particularité d’être, un peu comme HTML, un langage de mise en forme, contenant du texte, des images... 

Voici un exemple simpliste de document RTF affichant « NetXP » : 
{\rtf1\ansi\deff0
{\colortbl;\red0\green0\blue0;\red255\green0\blue0;}
NetXP\line }

La vulnérabilité, découverte par FireEye en début d’année et corrigée en avril, permet de contourner le mode protégé d’Office (mode protégé), non pas en exécutant une macro, mais en permettant d’activer un objet OLE, directement à l’ouverture du document, sans la moindre alerte. Il devient alors possible de faire appel à un objet OLE allant télécharger quelque chose sur Internet et c’est ce que fait ce nouveau ver : il va télécharger un fichier HTA pour HTML Application, permettant d’exécuter le vrai code malveillant et ainsi de prendre le contrôle de l’ordinateur. De nombreux outils ont fait leur apparition, permettant de créer son propre document malveillant exploitant cette vulnérabilité.

Ici, sur github. Dans MetaSploit : exploit/windows/fileformat/officewordhta

Pour faire simple : l’utilisateur ouvre un document Word ou Excel envoyé en pièce jointe d’un mail, sans aucune alerte ni blocage, Word ou Excel va télécharger le fichier HTA sur un des sites ci-dessous, puis l’exécuter.

Pivot

Une fois le poste infecté, après certaines étapes non encore identifiées, le ver essaie de se propager sur le réseau (pivot latéral). 

Incorporant des morceaux de l’outil Mimikatz, il est capable de récupérer des éléments d’authentification en mémoire et de les réutiliser avec le protocole de gestion Microsoft WMI pour s’exécuter sur une autre cible 

Parmi les chaînes de caractères présentes dans le ver, on peut trouver des lignes de commande WMIC avec les paramètres permettant l’exécution à distance, authentifiée :
-d C:\Windows\System32\rundll32.exe "C:\Windows\%s",#1
wbem\wmic.exe 
%s /node:"%ws" /user:"%ws" /password:"%ws" process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\%s\" #1 \\%s\admin$ \\%ws\admin$\%ws

Il incorpore également l’outil de Microsoft « Sysinternals PsExec » pour tenter de progresser sur le réseau, tout comme nous l’utilisons parfois lors d’audits. 

Enfin, il semblerait qu’il tente d’exploiter la vulnérabilité sur le protocole de partage de fichiers de Microsoft « SMB », déjà exploitée par le rançongiciel de mars (WannaCry) et donc corrigée par le bulletin MS17-010.

Par contre, toujours pas d’information sur une possible élévation de privilège local ou un contournement de l’UAC ni sur la présence d’une « time bomb ».

Time bomb ?

Bien que non encore confirmé, l’apparition en même temps sur de nombreux ordinateurs d’entreprises différentes laisse penser à la présence d’une « time bomb », c’est-à-dire l’infection de la cible mais la mise en sommeil de la charge active jusqu’à la date fatidique de l’activation. 

Ce point reste donc à confirmer ou infirmer. 

Dans le cas de la compromission d'un éditeur tiers, la simultanéité s'expliquerait d'elle même.

« Kill Switch »

Les exemples du virus analysés cherchent la présence d’une librairie dans le répertoire c:\windows, indiquant que la cible est déjà compromise. A lire ici
Je n’ai pas trouvé de façon sûre ce nom, mais il semblerait que cela soit c:\windows\core.dll ou c:\windows\perfc.dat ou C:\windows\perfc

C’est étrange que le nom soit en dur dans le code et ne soit pas lié à l’environnement infecté.

Il serait envisageable de déployer en urgence (par GPO par exemple) des fichiers vides nommés comme ci-dessus pour parer à toute infection supplémentaire, mais je doute que cela soit efficace très longtemps.

Bitcoins

Le portefeuille Bitcoin des criminels est celui-ci. 

A cet instant, les criminels ont récupéré 3.155 bitcoins, c’est-à-dire 6680 euros

IoC

Voici quelques adresses IP liées à ce ver. Il peut être intéressant de regarder dans ses logs Proxy et Firewall si des accès ont été réalisés : 
185.165.29.78 
84.200.16.242 
111.90.139.247 
95.141.115.108 (Correspondant au domaine french-cooking.com 😉)

Le Github de « Vulners Team » inclut un certain nombre d’autres éléments techniques.

Que faire ?

Depuis hier, nous sommes sur le pont avec un certains nombre de nos clients. 

Parmi les premières actions, tout comme pour WannaCry, il nous semble important de mettre à jour ses systèmes - s’il ne l’étaient pas - mais aussi toutes ses solutions de sécurité liées aux flux des utilisateurs (Antivirus, Proxy, Passerelles mail, IDS/IPS...).

Il faut en parallèle communiquer rapidement auprès des utilisateurs, si ce n’est pas déjà fait, sans non plus créer de panique. Il est peut être intéressant d’interdire l’ouverture de pièce jointe provenant d’internet, tout du moins pendant la journée.

En cas d’infection, il faut naturellement couper les ressources infectées du réseau et faire une veille très attentive sur ce qui sera publié dans les prochaines heures.

A noter que si les analyses de Kaspersky et Talos sont justes, il est impossible de déchiffrer.

Ensuite, il faudra reconstruire ses postes de travail ou serveurs, sans doute revoir le durcissement de ses systèmes, remettre à plat ses procédures de mises à jour pour essayer de déployer les correctifs de sécurité plus rapidement (ce qui n’est pas forcement aisé suivant les contextes), peut être envisager de limiter les flux entre les utilisateurs et revoir (mettre en place?) le cloisonnement de ses serveurs en n'ouvrant que le strict nécessaire.

Réparer son boot ?

En cas d’infection, où le virus aurait eu accès aux privilèges « administrateur » et cassé le disque, il semblerait qu’il soit possible de récupérer le disque et les fichiers, avec les commandes suivantes en démarrant sur une clef USB ou un autre média, avec l’outil BootRec de Microsoft accessible dans le menu de récupération du démarrage :
bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot

Nous n’avons pas testé cette solution, donc nous ne connaissons pas les effets en bord, en particulier en cas de disque précédemment chiffré par Bitlocker ou toute autre solution. 

De plus, étant donné qu’il faut un accès physique au poste (ou serveur), il semble irréaliste d’utiliser cette méthode si de nombreux postes ont été compromis.

Vladimir Kolla, responsable de la Practice Sécurité chez NetXP


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité


Dossier L'1FO

Windows et Android : les meilleurs ennemis

L’univers Android est à la mobilité ce que le monde Windows est au PC et à l’informatique. Ces deux mondes sont aujourd’hui contraints de cohabiter. Et les utilisateurs doivent apprendre à jongler entre leurs apps. Voici les solutions pour profiter du meilleur d'Android sous Windows... et inversement !

Afficher tous les dossiers
Offres d'emploi
RSS
1234

Lancez votre recherche sur la rubrique Emploi avec notre partenaire

News Mag-Securs
1234567

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

LIVRES BLANCS

Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Comment choisir la solution de surveillance réseau adéquate ?  Un Livre Blanc Paessler.

Pour que son infrastructure informatique lui donne entière satisfaction, toute entreprise doit pouvoir compter sur un réseau haute performance. Pour maintenir la fluidité des procédures, tous les processus doivent fonctionner de manière fluide, y compris les communications internes et externes entre sites de l’entreprise, ainsi qu’avec les clients et partenaires. Les dysfonctionnements et pannes des processus opérationnels provoquent facilement des pertes de temps et surtout d’argent.


Stockage Flash : 1 000 utilisateurs témoignent, un Livre Blanc HPE.

1 000 responsables informatiques ont été interrogés à l'initiative d'HPE afin de relater les "surprises", bonnes et mauvaises qu'ils ont rencontré lors du déploiement puis l'utilisation de solutions de stockage Flash. L'essentiel des configurations et des utilisations ont été passées en revue pour ce qui constitue la plus grande enquête jamais réalisée sur ce thème et qui permet à chacun de préparer au mieux sa propre voie d'évolution, ceci en évitant les écueils qu'ont pu rencontrer les professionnels interrogés. 


Tous les Livres Blancs
Le Kiosque

SERVEURS : la guerre des processeurs relancée ! ARM/Intel/AMD - NotPetya/Expetr : retour sur une attaque informatique qui change le monde - Poser les bases de la conformité RGPD - Offres Multicloud - French Tech LORnTECH - Kantree simplifie le travail collaboratif - Langage Go Google - Coworking IT...

 

SMART CITY : de l'IT pour piloter les villes - Maîtrisez Windows 10 CREATORS UPDATE - Mettons les robots dans les nuages ! - Comment le BACKUP se réinvente - Créez un projet ARDUINO avec Circuito - Rencontre avec David Fayon : « Comment la France peut devenir la tête de pont du numérique en Europe »...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
Google devrait annoncer début octobre un accord avec de grands groupes de presse pour les aider à attirer des lecteurs payantsGoogle devrait annoncer début octobre un accord avec de grands groupes de presse pour les aider à attirer des lecteurs payants, a-t-on appris vendredi de source proche du dossier, ce qui pourrait contribuer à apaiser les relations difficiles entre la presse et les géants d'internet. [Sommaire]

Facebook a renoncé vendredi à créer une nouvelle catégorie d'actions qui auraient permis à son patron-fondateur Mark Zuckerberg de pérenniser son contrôle sur le groupe, après une levée de boucliers de certains actionnaires.Facebook a renoncé vendredi à créer une nouvelle catégorie d'actions qui auraient permis à son patron-fondateur Mark Zuckerberg de pérenniser son contrôle sur le groupe, après une levée de boucliers de certains actionnaires. [Sommaire]

Fabriqué par Taiga Systems, le Une entreprise russe a présenté vendredi un nouveau smartphone censé protéger ses utilisateurs de toute tentative de piratage des données, une préoccupation croissante pour les entreprises et gouvernements face aux attaques informatiques qui les visent, avec des conséquences parfois coûteuses. [Sommaire]

Le chanteur britannique Ed Sheeran, le 27 août 2017 à Inglewood aux Etats-UnisLe morceau "Shape of You" du chanteur britannique Ed Sheeran est devenu vendredi le plus écouté de l'histoire de Spotify, détrônant "One Dance" du Canadien Drake, qui a régné près d'un an sur la plateforme de musique en streaming. [Sommaire]

Le réseau social Snapchat vient de fêter le premier anniversaire de la version française de sa composante Discover, un kiosque à journaux virtuel misant sur des textes courts et beaucoup d'imagesLe réseau social Snapchat vient de fêter le premier anniversaire de la version française de sa composante Discover, un kiosque à journaux virtuel misant sur des textes courts et beaucoup d'images: un réel succès chez les adolescents, mais un modèle économique encore balbutiant. [Sommaire]

Facebook avait révélé début septembre que des centaines de faux comptes avaient été probablement activés depuis la RussieFacebook a finalement accepté de fournir au Congrès américain le contenu de messages qui auraient été financés par la Russie pour influencer l'élection présidentielle de 2016, apportant une nouvelle illustration des pressions que les réseaux sociaux subissent pour collaborer avec les autorités. [Sommaire]

La PDG du Hewlett Packard Enterprise, Meg Whitman, lors d'une conférence de presse à New York, le 2 novembre 2015La société informatique américaine Hewlett Packard Enterprise (HPE) a l'intention de supprimer au moins 5.000 emplois, soit 10% de ses effectifs, selon l'agence d'informations financière Bloomberg jeudi. [Sommaire]

Des mineurs d'Eldorado protestent contre le gel annoncé des activités de la compagnie canadienne en Grèce. Celle-ci est revenue sur sa décision jeudi.

La compagnie minière canadienne Eldorado a provisoirement retiré jeudi sa menace de geler ses activités en Grèce, soulignant qu'un "dialogue constructif" est engagé avec le gouvernement sur ses projets qui se heurtent à une forte contestation environnementale.  [Sommaire]

La Commission européenne a présenté jeudi de premières pistes pour mieux taxer les géants de l'internet, comme Google, régulièrement accusés de faire ... [Sommaire]

Dans les allées du Tokyo Game Show, le 21 septembre 2017 à Chiba, près de la capitale japonaiseDes joueurs vedettes s'affrontaient à coups de gâchettes numériques jeudi au Tokyo Game Show, le Japon essayant de rattraper son retard dans l'eSport, une discipline qui a déjà conquis massivement l'Occident. [Sommaire]

Toutes les dépêches AFP

AgendaIT

MICROSOFT IGNITE + ENVISION

Deux événements Microsoft se tiennent en parallèle à Orlando (Floride) du 25 au 29 septembre 2017 : Microsoft Ignite pour les DSI, professionnels de l'IT et développeurs et Microsoft Envision dédié aux responsables d'entreprises. Organisés par Microsoft.

APS

APS, salon professionnel de la sûreté et de la sécurité, se tient du 26 au 28 septembre 2017 à Paris, porte de Versailles (pav. 5.2/5.3). Organisé par Reed Expositions.

SALONS SOLUTIONS

Les Salons Solutions - ERP, CRM, BI et Big Data, E-Achats, Demat'Expo, Serveurs & Applications - se tiennent du 26 au 28 septembre 2017 à Paris, Porte de Versailles. Organisés par Infopromotions.
Conférence francophone sur la méthodologie "devops" en entreprise le 2 octobre 2017 à Paris (Grand Rex). Organisé par devopsdays.

MICROSOFT EXPERIENCES'17

Deux jours de conférences et 10000 m2 d'espaces d'échange pour s'immerger dans les innovations du numérique les 3 et 4 octobre 2017 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Microsoft.

SMART CITY + SMART GRID

Exposition, contérences et ateliers, le salon de la ville et des territoires intelligents, durables et connectés Smart City + Smart Grig se tient les 4 et 5 octobre 2017 à Paris, Porte de Versailles (Pavillon 2.2). Organisé par Infopromotions.

L'IBM BusinessConnect annuel devient Watson Summit Paris et se tient le 10 octobre 2017 au Carrousel du Louvre. Organisé par IBM.
RSS
Voir tout l'AgendaIT