santiago silver - Fotolia

Qui protège contre l’exploitation de la vulnérabilité Eternal Blue ?

Il est avant tout essentiel d'appliquer les correctifs publiés par Microsoft ou de désactiver le support de SMBv1, dont une vulnérabilité est exploitée par EternalBlue. Au-delà, c’est plus au niveau du réseau que la protection est à chercher.

Selon MRG Effitas, seules trois suites de protection du poste de travail grand public protègent efficacement contre l’exploitation de la vulnérabilité EternalBlue : Eset Smart Security, F-Secure Safe, et Kaspersky Internet Security. Au total, neuf suites ont été mises à l’épreuve, ainsi qu’une solution de protection du terminal dite de nouvelle génération, et un outil d’EDR – même si ceux-ci sont plus centrés sur la visibilité que sur la protection.

A première vue, le test de MRG Effitas ne manque pas d’un certain intérêt : il pose la question de la protection des ordinateurs personnels contre leur infection, via le réseau, par des logiciels malveillants utilisant les mécanismes de diffusion utilisés par les auteurs du désormais célèbre WannaCry.

Cette approche se distingue radicalement de celle d’un AV Comparatives qui avait précédemment mis à l’épreuve les systèmes de protection proactive de nombreux produits en cherchant à exécuter directement sur l’ordinateur personnel un échantillon du rançongiciel.

En fait, il s’agit, d’un côté, de savoir qui bloque la dépose de la charge utile et, de l’autre, qui en bloque l’exécution. Et la différence entre les résultats est de taille : ceux de MRG Effitas peuvent laisser à penser que seules trois suites peuvent effectivement protéger les utilisateurs, tandis que ceux d’AV Comparatives indiquent que quasiment toutes le font. Et, si MRG Effitas se garde – hélas – d’identifier les mauvais élèves, il ne manque pas de les stigmatiser en parlant des « FAILS ». Mais pas forcément à juste titre.

Les trois solutions présentées comme les bons élèves du marché, au moins dans leur communication, profitent ainsi d’un point commun : leur couche de protection réseau. Et c’est d’ailleurs celle-ci qui apparaît clairement à l’œuvre dans la suite Kaspersky Internet Security pour bloquer l’exploitation d’Eternal Blue. Même chose pour Eset Smart Security. Pour F-Secure Safe, c’est moins évident : la capture d’écran présentée par MRG Effitas ne montre pas le côté poste attaqué, mais simplement le résultat de la tentative d’exploitation de la vulnérabilité, côté attaquant, avec l’outil Fuzzbunch attribué à la NSA.

De fait, pour protéger de l’exploitation d’une vulnérabilité affectant l’implémentation d’un protocole réseau, voire le protocole lui-même, rien de tel que d’agir au niveau du réseau… C’est sans surprise ce que propose toute l’industrie depuis la divulgation d’Eternal Blue, à grand renfort de règles Yara, Snort, ou autres.

D’ailleurs, Cybereason ne s’en cache pas. Dans un billet de blog, s’il explique que son outil de protection du poste de travail détecte « une connexion entrante suspecte sur le port 445 », ce n’est pas là qu’il intervient, n’étant ni pare-feu ni système de prévention d’intrusion : c’est l’exécution de la charge utile déposée qu’il bloque pour protéger contre WannaCry. 

Pour approfondir sur Protection du terminal et EDR

Close