Point de situation sur WannaCry

Robin François
Critical vulnerability IT Security Sécurité IT Vulnérabilité critique WannaCry
Blog cybersécurité

De quoi s'agit-t-il?

La menace à laquelle font référence les médias du monde entier depuis vendredi 12 mai 2017 en fin de journée est WannaCry et ses variantes.

WannaCry et ses variantes sont des ransomwares. Le but premier de ce type de malware est le chiffrement des données afin de soutirer de l'argent à des victimes en échange de la clef de déchiffrement. Malheureusement, rien de très nouveau à cela.

Sa méthode de livraison reste aussi similaire à toutes les attaques du même type: phishing, drive-by download...

Qu'est ce qui rend WannaCry si nouveau et dangereux?

La nouveauté et la raison de sa dangerosité vient du caractère "worm" de l'attaque. En effet, WannaCry et ses variantes exploitent la vulnérabilité de Windows MS17-010 rendue publique par les prétendues révélations de l'attirail informatique offensive des services secrets américains. Cette vulnérabilité est exploitable à travers le réseau interne de l'organisation et ainsi, une seule machine contaminée peut infecter les autres machines de l'organisation qui sont vulnérables à MS17-010.

Techniquement, qu'est-ce que MS17-010?

Cette vulnérabilité est présente dans le service de partage de fichiers (aussi appelé SMB). Seule la version 1 du protocole SMB est vulnérable. Pour les machines non patchées, il est possible d'exécuter du code arbitraire sur une machine si les ports TCP/139 ou TCP/445 sont exposés.

Comment se protéger?

  1. WannaCry et ses variantes n'apportent rien de nouveau quant à la méthode d'infection initiale. Les mesures de sécurité habituelles visant à éviter l'infection des premiers postes est donc toujours d'actualité: anti-virus, filtrage internet par proxy, vigilance des utilisateurs... De même, la mise en place de sauvegardes permettra de restaurer les données qui auront été malgré tout chiffrées.

  2. La particularité de WannaCry est son utilisation de la vulnérabilité MS17-010 pour infecter d'autres machines du réseau interne. Appliquer la mise à jour de Microsoft permet donc d'éviter la propagation en interne. Des patchs spéciaux pour Windows XP et 2003 ont même été mis à disposition par Microsoft pour cette vulnérabilité. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

  3. La propagation repose aussi sur l'exposition du service SMB sur le réseau. Le déploiement sur les postes à risques, en urgence, d'une politique de sécurité pour les pare-feu locaux afin de bloquer les ports TCP/139 et TCP/445 peut aussi endiguer la propagation interne de WannaCry.

  4. La propagation reposant sur la version 1 du protocole SMB, sa désactivation permet aussi de réduire l'impact.

Comment contrôler si une machine est patchée?

Il n'est pas toujours simple de contrôler si une machine est patchée.

Le script PowerShell suivant peut permettre de s'y retrouver:

$hotfixes = "KB4012212", "KB4012217", "KB4015551", "KB4019216", "KB4012216", "KB4015550", "KB4019215", "KB4013429", "KB4019472", "KB4015217", "KB4015438", "KB4016635", "KB4016871"
$computer = $ENV:COMPUTERNAME
    $hotfix = Get-HotFix -ComputerName $computer | 
    Where-Object {$hotfixes -contains $_.HotfixID} | 
    Select-Object -property "HotFixID"
if($hotfix) {
    Write-Output "$computer has hotfix $hotfix installed"} else {
    Write-Output "$computer is missing hotfix"}

Si la machine est en version 1703 (à contrôler avec la commande winver), le patch pour MS17-010 est normalement déjà inclus.

Comment savoir si SMBv1 est activé sur une machine?

En PowerShell:

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Comment désactiver SMBv1 ?

Microsoft a publié une note:

https://support.microsoft.com/fr-fr/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

En PowerShell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Quelle est la situation pour les systèmes d'exploitation plus supportés?

Microsoft a publié des patchs spécifiques pour Windows XP, Windows 2003, Windows 8.0 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Les médias indiquent que la menace a été endiguée par un jeune chercheur en sécurité informatique. De quoi s'agit-t-il?

En effet, un jeune chercheur en sécurité informatique britannique a découvert que les concepteurs de la première version de WannaCry avaient fait une erreur de conception: le ransomware appelle un serveur Command&Control (C&C) à son exécution. Si le C&C ne répond pas ou ne donne pas d'instructions particulières, l'infection continue. Or, le malware faisait référence, dans son code, à un C&C hébergé sur un domaine non enregistré et encore libre. Le chercheur a enregistré le domaine et ainsi pu recevoir les tentatives de connexion des malwares à travers le monde et leur indiquer de cesser leur activité.

Néanmoins, de nouvelles variantes sont déjà présentes et ont à priori corrigé ce problème. La menace est donc toujours bien réelle.