Mise à jour du 29 juillet 2019 : Avec plus de 800 000 systèmes Windows toujours non corrigés et vulnérables (au 2 juillet), l'inquiétude concernant BlueKeep reste élevée, surtout après qu'un guide détaillé sur la façon de comment écrire un exploit a été mis en ligne la semaine dernière. La publication d'un programme d'exploitation et la découverte de logiciels malveillants qui recherchent les ordinateurs vulnérables sont d'autres indications que la vulnérabilité ne passe pas inaperçue. Mettez à jour vos systèmes concernés et vérifiez vos capacités de récupération dès maintenant !
Une vulnérabilité de Windows ouvre la voie au prochain WannaCry
Un peu plus de deux ans se sont écoulés depuis WannaCry, le ransomware qui a exploité la vulnérabilité EternalBlue pour infecter des centaines de milliers d'ordinateurs dans le monde entier et infliger des dommages estimés à 8 milliards de dollars.
Si l'histoire se répète, un nouvel assaut nous attend dans les 30 prochains jours.
Le 14 mai, Microsoft a publié des correctifs pour une vulnérabilité critique d'exécution de code à distance(CVE-2019-0708) - un bug désormais connu sous le nom de BlueKeep - et a exhorté les clients à mettre à jour tous les systèmes affectés dès que possible.
La semaine dernière, l'Agence nationale de sécurité des États-Unis (NSA) a publié son propre avis sur la cybersécurité, réitérant la nécessité d'agir.
Les attaques WannaCry ont commencé 59 jours après que Microsoft a publié des correctifs pour EternalBlue. En appliquant un délai similaire à BlueKeep, nous pourrions commencer à voir des attaques en juillet, juste à temps pour gâcher nos vacances d'été. Bien sûr, le délai pourrait être plus court... ou plus long.
Sommes-nous prêts ?
La question n'est pas seulement de savoir si nous avons mis à jour les systèmes concernés : il est extrêmement important d'appliquer les correctifs en temps voulu, mais cela ne suffit pas. La préparation exige également la mise en place d'un processus de récupération renforcé pour les cas où, malgré tous nos efforts ou en raison de vulnérabilités nouvellement découvertes, les attaquants parviennent à pénétrer dans le système.
Que vous soyez ou non concerné par BlueKeep, c'est le bon moment pour revoir votre processus de récupération. Voici quelques éléments à prendre en compte :
- Pouvons-nous accéder à nos sauvegardes? Les attaquants ne s'attaquent pas seulement à nos applications et à nos données de production, ils s'en prennent aussi à nos sauvegardes ou, accessoirement, aux systèmes qui hébergent les sauvegardes. Veillez à stocker les sauvegardes (ou les copies de sauvegarde) dans un endroit où les ransomwares et les attaques par balayage ne peuvent pas les atteindre.
- Que faire si les sauvegardes sont infectées? De nombreuses sauvegardes contiennent des fichiers exécutables, des fichiers de démarrage et d'autres fichiers du système d'exploitation dans lesquels des rootkits et d'autres logiciels malveillants peuvent se cacher. La restauration des systèmes à partir de ces sauvegardes rétablit également les logiciels malveillants présents au moment où la sauvegarde a été effectuée. Cela plaide en faveur d'une méthode de récupération des systèmes qui ne repose pas sur le rétablissement du système d'exploitation d'origine.
- Pouvons-nous atteindre les objectifs de temps de récupération (RTO) pour les applications critiques ? Identifiez vos processus d'entreprise critiques et les applications nécessaires pour les soutenir. Cartographiez l'infrastructure dont dépendent ces applications et veillez à inclure le temps de reprise de cette infrastructure. Par exemple, Active Directory est l'un des premiers services à couvrir, car la plupart des applications en dépendent.
C'est également le moment idéal pour parler de cyber-résilience avec la direction : cette dernière vulnérabilité en matière de sécurité fournit un contexte réel pour la discussion. Prenez contact avec la direction de manière proactive et informez-la du problème, de votre exposition et de ce qui manque dans votre plan de reprise.
Une recherche rapide sur Internet peut fournir des éléments de discussion. Voici quelques articles qui sont particulièrement "conviviaux" : Avertissement de Microsoft, Avis de la NSA sur la cybersécurité
Il ne fait aucun doute que d'autres textes seront écrits si (quand) les attaques exploitant BlueKeep commencent.
Soyez prêts !
