Aurions-nous pu éviter les attaques WannaCry et AdylKuzz ?



Par Kasper Lindgaard - Directeur de recherche et de la sécurité au sein de l'équipe Secunia Research de Flexera Software


Suite à l'attaque WannaCry, certains rapports révèlent une fois de plus une hausse des vulnérabilités au niveau des systèmes d'exploitation des PC, tandis que les utilisateurs se montrent de moins en moins rigoureux dans l'application des patches correspondants. Ainsi, le pourcentage de PC utilisant des versions de Windows non patchées atteint les 9 % au 1er trimestre 2017, contre 7,2 % au trimestre précédent et 6,1 % sur le 1er trimestre de l'année dernière.

La plupart des vulnérabilités connues disposent de correctifs au moment même où elles sont révélées.  En effet, selon le rapport Vulnerability Review annuel publié en début d'année par Flexera, quelques 17 147 failles ont été enregistrées en 2016 sur 2 136 produits de 246 éditeurs, et 80 % d'entre elles bénéficiaient de correctifs le jour même de leur découverte. Malheureusement, ceux-ci ne sont pas appliqués dans des délais raisonnables, les utilisateurs faisant preuve d'un laxisme préoccupant.

Ainsi, malgré l'existence de patches (comme celui publié par Microsoft) qui auraient pu empêcher le malware WannaCry de sévir, un nombre alarmant d'entreprises et d'individus ne les ont tout simplement pas installés.  Déjà, en avril dernier, différents spécialistes de la sécurité avaient identifié plusieurs milliers d'ordinateurs infectés par DoublePulsar (de 30 000 à 107 000 machines en fonction des résultats des analyses), un malware se propageant lui aussi via l'exploit EternalBlue utilisé par WannaCry et AdylKuzz.  La menace pesait donc sur les entreprises depuis un certain temps.

Se protéger des prochains WanaCry, AdylKuzz, etc.

Les nouvelles attaques identifiées utilisant EternalBlue et le backdoor DoublePulsar montrent à quel point il est important d'appliquer des correctifs à des systèmes vulnérables afin de se protéger.
Dans le courant du mois de mai, le chercheur Kafeine a publié un article décrivant une autre attaque utilisant l'exploit EternalBlue et le backdoor DoublePulsar : AdylKuzz.  Comme il l'écrit dans son article,
« Les premières statistiques suggèrent que cette attaque pourrait être d'une plus grande ampleur que WannaCry et affecter des centaines de milliers d'ordinateurs et de serveurs dans le monde entier... ».  Selon lui, cette attaque aurait débuté avant WannaCry, et aurait limité la propagation de ce ransomware. En effet, AdylKuzz bloque les communications via le protocole SMB pour éviter toute infection supplémentaire par un autre malware.  Sans cette attaque, WannaCry aurait donc pu se répandre dans des proportions bien plus importantes.

Pourtant, dans cet océan de nouvelles informations, d'interprétations, et malgré la peur, l'incertitude et le doute régnant aujourd'hui, le constat reste le même : installer les patches disponibles reste la méthode la plus efficace pour éviter que des vulnérabilités connues ne soient exploitées.

Tandis que les spécialistes de la sécurité mettent tout en œuvre pour repérer et arrêter toute infection, et que leurs équipes informatiques s'emploient à déployer les correctifs adéquats, les dirigeants d'entreprises bénéficient probablement d'une opportunité idéale pour réfléchir à des solutions efficaces afin d'éviter que leur organisation ne soit la prochaine victime d'une attaque similaire (alors que des solutions existent).

Comment gérer les vulnérabilités logicielles
Les entreprises doivent créer un lien entre leurs équipes de sécurité et de production (SecOps) afin d'obtenir un processus de résolution plus efficace et de patcher rapidement les vulnérabilités nécessaires. Une telle approche leur permettra :
d'introduire des processus formels de gestion des vulnérabilités ;
d'appliquer des correctifs et de résoudre les problèmes dans le cadre d'un processus complet ;
de développer des processus de gestion des vulnérabilités et de mettre en œuvre les technologies nécessaires ;
de relier évaluation précise et application des patches au sein du cycle complet de gestion des vulnérabilités logicielles.
Les entreprises peuvent aisément combler les principales lacunes de leurs outils de gestion des vulnérabilités traditionnels, y compris au niveau de l'évaluation et du traitement des failles des logiciels et systèmes tournant sur des clients et des serveurs.  Ces manques exposent en effet les organisations à des risques pouvant aller jusqu'à : a perte de données confidentielles, à la prise de contrôle de systèmes internes par des hackers, et à d'autres conséquences négatives.  La gestion de ces lacunes est d'une importance critique pour faire face à des attaques telles que WannaCry à l'avenir.

0 commentaires: