Une grosse attaque informatique a eu lieu en ce début de week-end. De nombreuses sociétés de par le monde ont été touchées, parmi lesquelles Renault, Telefonica ou encore le système de santé britannique, mais pas seulement. Au total, plus de soixante-dix pays ont été impactés, et il semblerait que cela ne soit pas fini... WannaCryptor (aussi appelé WannaCry ou encore WCry) exploite une faille dans le protocole SMB et se propage via des pièces jointes de courriels (fichiers Word ou *.PDF) qui déclenchent l'infection et chiffrent les données pour ensuite demander une rançon afin d'y avoir de nouveau accès. En cela, le fonctionnement est similaire à Locky, objet d'un billet rédigé en octobre dernier sur ce même blog. La présence d'une faille dans le protocole SMB aurait fortement contribué à sa rapidité de propagation.
Il est dommage de constater, après coup, que cette faille avait été comblée sur les systèmes toujours supportés par Microsoft en mars de cette année. Le correctif en question était le MS17-010 et était d'un niveau critique. Devant l'ampleur de l'attaque, Microsoft a développé également des patchs pour d'anciennes versions de Windows (et notamment Windows XP, encore largement utilisé alors qu'il est devenu totalement obsolète).
Vous trouverez ci-dessous les liens vous permettant de mettre à jour votre système :
- Windows XP SP3 32-bits ;
- Windows XP SP2 64-bits ;
- Windows XP Embedded SP3 32-bits ;
- Windows Server 2003 SP2 64-bits ;
- Windows Server 2003 SP2 32-bits ;
- Windows 8 32-bits ;
- Windows 8 64-bits.
Sans vouloir jouer les rabat-joie, cette attaque montre encore une fois que l'usage de systèmes d'exploitation non supportés reste risqué (de même que le comportement qui consiste à traiter les mises à jour par-dessus la jambe). Si Microsoft a fait une entorse à sa politique en développant ces patchs en catastrophe, nul doute que ce geste reste tout à fait exceptionnel. On ne répétera jamais assez que pour être protégé du mieux possible (car le risque zéro n'existe pas), il faut au moins un système supporté et à jour.
Puisque l'attaque exploite une faille du protocole SMB, il est également judicieux de bloquer purement et simplement le protocole (pas de panique, ce protocole est déjà très ancien, et ce sont de nouvelles versions qui équipent nos systèmes modernes). Il existe de nombreuses manières de désactiver le protocole SMB. Voici d'abord comment faire sous Windows 7, Windows Server 2008 R2, Windows Vista, et Windows Server 2008. Vous savez tous l'affection que j'ai pour l'éditeur de registre. Eh bien une fois n'est pas coutume, nous allons changer un peu et utiliser le PowerShell, que nous aurons pris soin de lancer en mode administrateur ! :)
Une fois le PowerShell lancé, il suffira de taper la commande suivante :
- Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Puis l'on validera en appuyant sur Entrée. Le redémarrage de l'ordinateur sera nécessaire pour que la modification soit prise en compte. Il est à noter que cette commande s'applique aux serveurs SMB. Il faut également faire la manipulation pour les clients (ici pour les clients sous Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, et Windows Server 2012), et la commande est différente. Nous passerons cette fois-ci par l'invite de commandes (toujours en mode administrateur), et au prompt, nous taperons les commandes suivantes :
- sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi ;
- sc.exe config mrxsmb10 start= disabled .
Les commandes sont encore différentes pour les autres systèmes (Windows 8.1, Windows 10, Windows 2012 R2, et Windows Server 2016). Le plus simple reste encore une fois de passer par le PowerShell. Sur les serveurs SMB, une fois le PowerShell lancé (en mode administrateur, bien sûr), taper à l'invite de commandes :
- Remove-WindowsFeature -Name FS-SMB1
Pour les clients SMB, la commande à entrer est la suivante :
- Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Mise à jour du 22.05.2017 : Le plus gros de l'attaque semble passé, et des logiciels de désinfection voient le jour. C'est le cas de WannaKiwi, et de WannaKey. Si WannaKey est donné pour n'être compatible qu'avec Windows XP, WannaKiwi peut être utilisé sur Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 2008R2, ainsi que Windows 7.
Ces logiciels peuvent ne pas fonctionner dans tous les cas. Leurs concepteurs précisent notamment que l'efficacité est bien moindre si la machine a été redémarrée. En effet, les deux logiciels partent à la recherche de la clé de chiffrement de WannaCry dans la mémoire vive. Le fait de redémarrer la machine vidant la mémoire, ceci explique cela.
Les deux utilitaires sont téléchargeables sur GitHub :
Aucun commentaire:
Enregistrer un commentaire