Comment #NotPetya profite de multiples mauvaises pratiques
Le logiciel malveillant qui se propage rapidement à travers le monde depuis ce mardi 27 juin utilise l’exploit EternalBlue. C’est loin d’être son seul atout. Et il peut aussi compter sur l’aide bien involontaire de certains administrateurs.
Depuis le début de sa propagation, celui que l’on appelle NotPetya, ExPetr, Nyetya, ou encore GoldenEye est largement renvoyé à WannaCry, parce qu’il ressemble à ransomware et qu’il met également à profit le duo EternalBlue/EternalRomance.
Alors sans surprise, de nombreuses voix se sont rapidement élevées pour dénoncer des responsables informatiques qui n’auraient pas tiré les leçons de WannaCry et, en particulier, appliqué les correctifs qui s’imposent. Le Cert-FR ne manque d’ailleurs pas de recommander leur déploiement « immédiat » ou encore de désactiver le protocole SMBv1 et de « limiter l’exposition du service SMB, en particulier sur Internet ».
You would've thought a lesson was learned from #WannaCry 🤔 #Petya #Eternalblue pic.twitter.com/uhwM8dDUyY
— Fez 👻 (@sudo_fez) June 27, 2017
Mais limiter ExPetr à cela serait fortement réducteur, trop même. Le Cert-FR recommande ainsi de « respecter le principe de moindre privilège pour les utilisateurs, afin de limiter l’élévation de privilèges et la propagation latérale de l’attaquant ». Et c’est l’un des points clés de la propagation du logiciel malveillant sur les réseaux de ses victimes. Pour certains, ExPtr tire avant tout profit de mauvaises pratiques en matière de gestion des identités et des accès.
Jérôme Saiz, expert du Cercle des Assises de la Sécurité, ne manque d’ailleurs pas de s’interroger : « comment un code malveillant peut-il obtenir aussi facilement les droits nécessaires à [son déplacement latéral] sur un poste de travail censé être contrôlé ? »
Et c’est sans compter avec la porosité des réseaux dont la topologie apparaît constituer un élément clé de la propagation de NotPetya « à travers les réseaux VPN, des sièges d'entreprises aux autres succursales et filiales », et vice-versa, comme le relève Bitdefender.
Ca exploite 20 ans de mauvaises pratiques d'IAM et de design d'architecture réseau. pour la propagation...
— Sebdraven (@Sebdraven) June 28, 2017
A l’Otan, Sorin Ducaru, rappelait justement ce mercredi 28 juin que les pratiques d’hygiène de base cyber auraient stoppé nombre d’incidents tels que WannaCry. Kevin Beaumont souligne aussi qu’un pare-feu de point de terminaison bloquant les flux entrant SMB et WMI pourrait aider à se protéger contre la propagation d’ExPetr.