Alerte_sécurité_b

PETYA, Souriez vous êtes patchés. Sinon, lisez !

Dans les dernières heures, vous avez dû entendre parler d’une menace se propageant sur Internet et pour laquelle les médias publient de l’information.
De nombreuses organisations ont été touchées (Le port de Rotterdam, l’infrastructure électrique d’Ukraine, des banques…etc.), dont des organisations françaises.

Ce ransomworm (ransomware avec mécanisme de propagation) se nomme Petya ou encore NotPetya selon les éditeurs.

Ce malware détériore le Master Boot Record (MBR) et provoque un redémarrage de la machine avec un cycle de 1 heure ce qui provoque également un déni de service. Nous connaissions les ransomwares qui chiffraient les fichiers du poste de travail, Petya, lui,  s’attaque directement au système d’exploitation.

Les actions de prévention régulière, et celles menées en réaction au Ransomware Wanacrypt (15 mai 2017), portent leurs fruits et limitent la portée de l’attaque.  Pour autant, la vigilance s’impose plus que jamais sur la mise à jour des systèmes d’exploitation et des logiciels avec les patches et la sensibilisation des utilisateurs.

L’objet de ce bulletin est de vous faire un point sur le contexte et les actions à mener. Il sera réactualisé régulièrement. En cas de question, nos équipes de support sont à votre disposition et joignables au 0820 850 850.

Déroulé de l’attaque Petya

L’attaque débute par la réception d’un fichier Excel, dans un message électronique, qui après exécution exploite une faille Microsoft Office publiée en avril 2017 par Microsoft : https://support.microsoft.com/en-us/help/3178703/description-of-the-security-update-for-office-2016-april-11-2017

La référence CVE de cette vulnérabilité est CVE-2017-0199

Une fois ce code activé, il se propage sur les machines du réseau en exploitant la même vulnérabilité que celle utilisée par Wannacry, à savoir la faille Windows MS17-010 publiée en mars 2017 par Microsoft : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

La référence CVE de cette vulnérabilité Microsoft est : CVE-2017-0144

Plateformes Windows impactées par cette vulnérabilité

Les plateformes touchées par la CVE-2017-0199 sont :

  • Microsoft Office 2007 SP3
  • Microsoft Office 2010 SP2
  • Microsoft Office 2013 SP1
  • Microsoft Office 2016

Les plateformes touchées par la CVE-2017-0144 sont :

  • Windows Vista
  • Windows Server 2008 & 2008R2
  • Windows 7
  • Windows 8.1
  • Windows 2012 & 2012R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
  • Windows XP
  • Windows 2003
  • Windows 8

Pour rappel, concernant la vulnérabilité CVE-2017-0144,  Microsoft a mis à disposition un correctifs pour les plateformes Windows XP, 2003 et 8 bien qu’elles ne soient plus supportées : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Quelles mesures mettre en oeuvre ?

  • Déployer les correctifs Microsoft sur les machines vulnérables
  • Mettre à jour l’antivirus postes et serveurs si ce n’est pas automatique
  • Utiliser la fonctionnalité AppLocker de Windows pour empêcher l’exécution de n’importe quel fichier qui porterait le nom “perfc.dat” ou l’utilitaire PSExec de la suite Sysinternals.
  • Nous conseillons à toutes les entreprises de s’assurer qu’elles ont une sauvegarde. Une sauvegarde à jour permet de restaurer les fichiers originaux après un incident de ce type

Mesures spécifiques pour l’éditeur Fortinet

  • ATP (Advanced Threat Protection)
  1.  Peu de temps après l’identification de cette attaque, le centre de recherches Fortiguard a mis à disposition les signatures antivirus permettant d’identifier ce code sous les appellations W32/Petya.EOB!tr et W32/Agent.YXH!tr
    Vérifier donc que les bases de signatures antivirus sont bien jour sur vos équipements Fortigate, FortiMail, FortiClient, FortiAP-S,…
    forti petya 01
  2. La solution FortiSandbox détecte cette attaque (notamment les nouvelles variantes) et est en mesure de protéger les clients qui en sont équipés.
  • IPS (Intrusion Prevention System)

Au travers des signatures IPS, il est possible de :

      • faire face à cette attaque en identifiant l’exploitation de la faille Microsoft Office lorsque l’utilisateur accède au fichier en passant par le firewall
      • d’en limiter la propagation lorsque de la segmentation réseau a été mise en œuvre et que le Fortigate est le point de passage d’un réseau à un autre.
    •  En avril 2017, suite à la publication des vulnérabilités Windows, Fortinet avait mis à disposition une signature IPS permettant d’identifier et de bloquer l’attaque exploitant la faille Microsoft Office CVE-2017-0199 : www.fortiguard.com/encyclopedia/ips/43872/ms-office-rtf-file-ole-autolink-code-execution
      Cette signature porte le nom « MS.Office.RTF.File.OLE.autolink.Code.Execution» et est disponible depuis la version « 10.131 » de la base de signatures IPS. L’action par défaut associée à cette vulnérabilité est « block » 
    • En mars 2017, suite à la publication des vulnérabilités Windows, Fortinet avait mis à disposition une signature IPS permettant d’identifier et de bloquer l’exploitation de la vulnérabilité CVE-2017-0144 : https://fortiguard.com/encyclopedia/ips/43796
      Cette signature IPS porte le nom « MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution » et est disponible depuis la version « 10.104 » de la base de signatures IPS. L’action par défaut associée à cette vulnérabilité est « block » :
      1. Vérifier que la base de signature IPS est à jour
        forti petya 02
      2. Puis mettre en œuvre les deux signatures « MS.Office.RTF.File.OLE.autolink.Code.Execution» et « MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution » en veillant à conserver l’action à « block » et associer ce profil IPS au règles firewall qui portent les flux à risque.
        forti petya 03

  • AntiBotnet
    1. Vérifiez que les accès aux réseaux de botnets et de « command & control » sont bien bloqués.
      Si vous êtes en version 5.4 ou 5.6 :
      forti petya 04
      forti petya 05
      Si vous êtes en version FortiOS 5.2 :
      forti petya 06
  • Next Generation Firewall
    Après la phase de contamination, des connexions vers le réseau TOR ont été identifiées. On peut s’appuyer syr le contrôle applicatif du Fortigate afin de bloquer les accès au réseau TOR.
    forti petya 07
  • Mesures conservatoires
    • en termes de mesures conservatoires, vous pouvez aussi isoler les ports réseaux UDP 137/138 et TCP 139/445

Mesures spécifiques pour l’éditeur Trend Micro

Versions des agents et Pattern Smart Scan reconnaissant Petya (version minimale) :

  • Smart Scan Pattern (TBL) – 17356.008.96 sortie le 27 Juin à 16h00 avec la détection du nom Ransom_PETYA.TH627
  • Smart Scan Agent Pattern and Official Pattern Release (conventional) – 13.499.00 avec la détection du nom Ransom_PETYA.TH627 et Ransom_PETYA.SMA.
  • Version du Scan Engine 9.8x ou plus

Deep Security et Vulnerability Protection :

  • Les règles suivantes doivent êtres activées : 1008224, 1008225, 1008228, 1008285 et 1008306. (failles MS17-010 et autres failles SMB)
  • Les règles suivantes peuvent être également activées pour éviter les infections interne : 1003222, 1006906, 1008327, 1008328, 1008422 et 1008423.
  • Ces règles ne sont pas toutes automatiquement activées (détection uniquement) et doivent être passées en mode prévention.

 

Pour en savoir plus,

visuel soyez vos propres anges gardiens

 

Laisser un commentaire