#1 17-05-2017 13:27:30

JoeKer
Modérateur en grève
Lieu: Dans le désert ...
Date d'inscription: 26-03-2008
Messages: 40169
Site web

Cyberattaques de ces derniers jours.

Bonjour.

Vous n'êtes probablement pas sans savoir qu'un "ransomware" très virulent (WannaCry/WanaCry) a sévi ces derniers jours.
Cette attaque a été rapidement freinée, mais la menace existe toujours.

Une nouvelle attaque (peut-être plus virulente) serait en cours ...

Dans l'attente d'informations plus précises :
- Vérifiez que votre antivirus est actif et à jour de ses signatures.
- Vérifiez que le pare-feu de votre ordinateur est bien activé.
- Que les services de partage Windows ne sont pas accessibles depuis Internet (par défaut, ils ne le sont pas avec une LiveBox).
- Si vous n'avez pas de LiveBox ou de modem/routeur,  fermez tout ce qui est possible en entrée avec le pare-feu de l'OS.
- N'ouvrez pas des pièces jointes dans vos mail (notamment les incitations à télécharger des pseudo-correctifs Microsoft, ceux-ci ne doivent être téléchargés que depuis des sites de confiance).

J'essayerai de fournir plus d'informations et de moyens de prévention dans la soirée.


On a déjà vu des choses qui ne sont jamais arrivées ...
Suite à un vieux désaccord avec les admins du forum, cette signature indiquera qu'ils n'ont toujours pas remédié à leurs carences.

Hors ligne

 

#2 17-05-2017 14:52:09

sambapati
Je trouve plus la sortie
Date d'inscription: 12-03-2015
Messages: 1036

Re: Cyberattaques de ces derniers jours.

Bonjour.

Des infos sur le site Microsoft https://blogs.technet.microsoft.com/msr … t-attacks/ avec les liens aux correctifs selon le système opératif, y compris pour Windows XP SP3 et en version localisée, donc en Français aussi.

Les liens se trouvent à la fin de l'article.

L'article est en anglais.

Ce malware utiliserait SMBv1 pour se propager sur le réseau local.

Bonne journée.

Dernière modification par sambapati (17-05-2017 14:53:06)

Hors ligne

 

#3 17-05-2017 17:45:06

Gipeca
"Ex-Modérateur"
Lieu: Dans le désert ...
Date d'inscription: 09-06-2009
Messages: 21348
Site web

Re: Cyberattaques de ces derniers jours.

Bonjour,

Des news sur l'attaque en cours ICI
Appelée Adylkuzz, cette attaque utilise un mécanisme proche de l'attaque WannaCry

[HS]
Je suis sur MAC depuis près de dix ans.
Pas d'anti virus et jamais eu l'ombre d'un virus ou programme malveillant sur mes 2 machines...
Par curiosité, je viens de faire tourner Kaspersky, version d'essai (mais version complète limitée dans le temps):
4 heures d'analyse sur chaque MAC, sur environ 1 million de fichier par machine: rien à signaler. Je vais le désinstaller !
[/HS]


https://i37.servimg.com/u/f37/18/84/50/99/14493410.gif     SOSH     Livebox2   SG20_sip-fr-5.2.20.1    NRA: SNA76    ADSL Attn.: 30dB    Synchro: 16 Mb/s

Hors ligne

 

#4 17-05-2017 18:06:41

pierrot42
Je trouve plus la sortie
Lieu: 42
Date d'inscription: 28-03-2014
Messages: 1425

Re: Cyberattaques de ces derniers jours.

Salut,

j'arrive toujours pas a comprendre comment tant de monde ne mettent pas a jour leur windows pour si j'ai bien compris, palier a la faille qui a été découverte par la NSA, c'est bien ça le truc, non??


Livebox 4 (fw 3.4.10) et Décodeur TV4 (fw 02.29.80) Open Play 40Go et play 30Go
http://i86.servimg.com/u/f86/19/26/96/18/sans_t10.png

Hors ligne

 

#5 17-05-2017 19:34:38

JoeKer
Modérateur en grève
Lieu: Dans le désert ...
Date d'inscription: 26-03-2008
Messages: 40169
Site web

Re: Cyberattaques de ces derniers jours.

Bonsoir.

Finalement, Adylkuzz n'est pas un "ransomware" comme on pouvait le craindre, mais il doit inquiéter beaucoup les milieux financiers ...

@pierrot42 : Encore faut-il pouvoir mettre son Windows à jour smile
Je suis sous XP SP3, et je n'ai pas envie de changer, pour le moment ...
Mais j'assume, et je suis vigilant.

Et j'ai vu, il n'y a pas si longtemps, un serveur de gestion de caisses de magasin qui tournait sous Windows 2000 Pro.
Bon, il y avait le système de sauvegarde sur cartouche (DAT4 !) ...


On a déjà vu des choses qui ne sont jamais arrivées ...
Suite à un vieux désaccord avec les admins du forum, cette signature indiquera qu'ils n'ont toujours pas remédié à leurs carences.

Hors ligne

 

#6 17-05-2017 20:29:40

sambapati
Je trouve plus la sortie
Date d'inscription: 12-03-2015
Messages: 1036

Re: Cyberattaques de ces derniers jours.

Salut JoeKer,

T'as essayé le correctif MSoft dans mon post?

Si affirmatif, est-ce qu'il a un effet sur "LanmanServer" ?

A bientôt.

Hors ligne

 

#7 17-05-2017 21:49:59

JoeKer
Modérateur en grève
Lieu: Dans le désert ...
Date d'inscription: 26-03-2008
Messages: 40169
Site web

Re: Cyberattaques de ces derniers jours.

Salut sambapati smile
Oui et non ...
Je l'ai téléchargé et installé sur le PC que j'utilise, mais pas encore redémarré le PC (j'ai un python qui finit de cuire:))

J'ai un autre PC sous XP, je peux tester si tu veux ...

A mon avis, le seul changement devrait être la résolution de la faille ...
En tout cas, LanmanServer, c'est un serveur SMB, donc potentiellement "vulnérable".

Je ne pense pas qu'il arrête le serveur LanMan si c'est ta question.
Sinon, peux-tu préciser ta question ?


On a déjà vu des choses qui ne sont jamais arrivées ...
Suite à un vieux désaccord avec les admins du forum, cette signature indiquera qu'ils n'ont toujours pas remédié à leurs carences.

Hors ligne

 

#8 17-05-2017 23:11:20

sambapati
Je trouve plus la sortie
Date d'inscription: 12-03-2015
Messages: 1036

Re: Cyberattaques de ces derniers jours.

Hola JoeKer.

Non, pas nécessaire de tester merci. C’était une curiosité presque académique. Une alternative suggérée par MSoft serait de désactiver SMBv1 et une méthode serait de paramétrer à zéro une valeur dans une certaine clé …\LanmanServer… dans les registres.

Je me demandais si le patch avait un quelconque effet sur LanmanServer. En effet si on ne s’en sert pas on peut bien couper LanmanServer. Le ComputerBrowser serait mort, il n’y aurait plus de liste d’ordinateurs de maintenue et le malware ne pourrait pas se propager, comme minimum. Donc l’ordinateur ne l’attraperait pas.

On couperait le vecteur (via SMBv1) de cette façon. Mais si le malware arrive par une autre voie ? Bon d’accord il y a l’AV qui devrait le neutraliser, mais c’est un peu une mesure réactive, après le fait.

Des questions, toujours des questions.

Bonne nuit.

Hors ligne

 

#9 17-05-2017 23:39:40

JoeKer
Modérateur en grève
Lieu: Dans le désert ...
Date d'inscription: 26-03-2008
Messages: 40169
Site web

Re: Cyberattaques de ces derniers jours.

La désactivation de SMBv1 peut avoir un effet de bord avec des anciens Windows (le moins ancien étant XP) ou des vieux serveurs Samba.
SMBv1 a été remplacé par SMBv2 à partir de Vista, mais peut encore exister ...
Il y a eu SMBv3 depuis (Windows 8 et plus).
Il y a un peu plus de 6 mois, Microsoft conseillait de ne plus l'utiliser, on peut donc espérer que ce soit avec peu d'effets de bord (mais Sophos antivirus, par exemple, l'utiliserait pour sa solution SSO hmm).

Pour ma part, je ne suis pas inquiet :
Tout ce qui est "Client Microsoft" et "Partage de fichiers et imprimantes" est désactivé (à vrai dire, je n'ai que IPV4 qui est activé), et pas de RDP (peut avoir participé à l'attaque).
Donc, si les canaux d'infections ne sont que ceux-là, je ne crains pas trop.
Comme lu dans un article : "La plus grosse faille est entre la chaise et l'écran ..."
Un des canaux probables d'infection est la diffusion d'emails avec une pièce jointe offensive.
Et c'est la raison d'être de mon message initial : Ne téléchargez rien si vous n'êtes pas protégés (les antivirus dignes de ce nom devrait le détecter, maintenant).

Pour ce que j'ai pu lire sur WannaCry (celui de ce week-end):
- Il existe le correctif que tu as pointé - même (et surtout) pour XP, et pour cause - pour corriger la vulnérabilité.
- Il existe des solutions pour l'empêcher de se propager (domaine à laisser accessible en http, ce qui est généralement le cas en utilisation au domicile, mutex à créer (plus compliqué, et je n'ai pas vraiment plus de détail)).
- Et la protection de tout instant  : L'antivirus !

[gag]
Mieux, mais je ne conseille à personne de tester (du moins pas "pour voir") : Adylkuzz désactiverait WannaCry !
[/gag]


On a déjà vu des choses qui ne sont jamais arrivées ...
Suite à un vieux désaccord avec les admins du forum, cette signature indiquera qu'ils n'ont toujours pas remédié à leurs carences.

Hors ligne

 

#10 18-05-2017 00:17:05

sambapati
Je trouve plus la sortie
Date d'inscription: 12-03-2015
Messages: 1036

Re: Cyberattaques de ces derniers jours.

Je suis allé trop vite, c’est pire, SMBv1 n’est pas seulement un vecteur comme je pensais. Ce passage dans la ms17-010 m’avait échappé :

The most severe of the vulnerabilities could allow remote code execution if an attacker sends specially crafted messages to a Microsoft Server Message Block 1.0 (SMBv1) server.
….

The security update addresses the vulnerabilities by correcting how SMBv1 handles specially crafted requests.

Ok, donc désactiver SMBv1 effectivement bloquerait l’attaque.

Re-bonne nuit.

Hors ligne

 

#11 18-05-2017 19:36:53

JoeKer
Modérateur en grève
Lieu: Dans le désert ...
Date d'inscription: 26-03-2008
Messages: 40169
Site web

Re: Cyberattaques de ces derniers jours.

Bonsoir.

Ok, donc désactiver SMBv1 effectivement bloquerait l’attaque.

Ce serait ce que fait Adylkuzz pour ne plus être embêté smile


On a déjà vu des choses qui ne sont jamais arrivées ...
Suite à un vieux désaccord avec les admins du forum, cette signature indiquera qu'ils n'ont toujours pas remédié à leurs carences.

Hors ligne

 

Powered by PunBB
© Copyright 2002–2008 PunBB