CERTFR-2017-ALE-010

Vulnerability from certfr_alerte - Published: - Updated:

Le CERT-FR constate l'apparition d'un nouveau rançongiciel qui exploite des vulnérabilités d'exécution de code à distance pour se propager. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 (cf. CERTFR-2017-AVI-082, section Documentation).

L'attention est attirée sur le fait que :

  • plusieurs variantes du rançongiciel ont pu être distribuées ;
  • le composant rançongiciel a pu être remplacé dans certains cas par un composant moins visible.

Vecteurs d'infection

Le vecteur d'infection initial pourrait être un courriel avec une pièce jointe malveillante.

Le programme malveillant ensuite exécuté peut être vu comme constitué de deux parties :

  • un composant chargé de la propagation via le réseau en exploitant une vulnérabilité SMB ;
  • un rançongiciel.

Contournement provisoire

Recommandations

Le CERT-FR recommande :

  • l'application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010 pour les systèmes maintenus par l'éditeur) ;
  • le respect des recommandations génériques relatives aux rançongiciels ;
  • de limiter l'exposition du service SMB, en particulier sur internet.

Un correctif de l'éditeur est aussi disponible pour les systèmes obsolètes suivants :

  • Windows XP SP2 pour processeurs x64 ;
  • Windows Server 2003 ;
  • Windows XP SP3 pour XPe ;
  • Windows XP SP3 ;
  • Windows Vista ;
  • Windows Server 2008 ;
  • WES09 et POSReady 2009 ;

Il peut être téléchargé depuis https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.

Prévention

De manière préventive, s'il n'est pas possible de mettre à jour un serveur, il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.

La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.

Récupération des données chiffrées par WannaCrypt

En cas d'infection par la version actuelle du rançongiciel WannaCrypt sous Windows XP, Windows 2003 et Windows 7 dans ses versions x86, une tentative de déchiffrement de vos données peut être effectuée à l'aide des outils WanaKiwi, ou bien WannaKey accompagné de Wanafork. Ces outils sont disponibles en source ouverte depuis https://github.com/gentilkiwi/wanakiwi/releases, https://github.com/aguinet/wannakey et https://github.com/odzhan/wanafork/.

Cette opération n'est pas garantie de fonctionner mais n'altérera aucun fichier en cas d'échec. Afin d'améliorer les chances de réussite de ces outils, le CERT-FR recommande de suivre les procédures suivantes :

  • Le système ne doit pas avoir été redémarré après l'infection, auquel cas les outils cités ci-dessus ne fonctionneront pas;
  • Il est déconseillé de manipuler le système après infection, mis à part pour lancer les outils de récupération des données chiffrées.

En cas de réussite, les fichiers chiffrés (.WNCRY) sont gardés intacts et les données déchiffrés sont enregistrées dans des fichiers séparés.

Mesures réactives

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt.

Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Le bulletin d'actualité CERTFR-2015-ACT-004 précise de manière plus complète les mesures à appliquer (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Sont affectés :

  • les sytèmes d'exploitation Windows vulnérables et en réseau maintenus par l'éditeur sur lesquels le correctif MS17-010 n'aurait pas été installé ;
  • les sytèmes d'exploitation Windows vulnérables obsolètes et en réseau (Windows XP, Windows Server 2003, Windows 8, Windows Vista, Windows Server 2008, WES09 et POSReady 2009) sur lesquels le correctif KB4012598 n'aurait pas été installé ;
  • tous les sytèmes d'exploitation Windows sur lesquels un utilisateur ouvrirait la pièce jointe malveillante.
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eSont affect\u00e9s :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eles syt\u00e8mes d\u0027exploitation Windows vuln\u00e9rables et en r\u00e9seau    maintenus par l\u0027\u00e9diteur sur lesquels le correctif MS17-010    n\u0027aurait pas \u00e9t\u00e9 install\u00e9 ;\u003c/LI\u003e    \u003cLI\u003eles syt\u00e8mes d\u0027exploitation Windows vuln\u00e9rables obsol\u00e8tes et    en r\u00e9seau (Windows XP, Windows Server 2003, Windows 8, Windows    Vista, Windows Server 2008, WES09 et POSReady 2009) sur    lesquels le correctif KB4012598 n\u0027aurait pas \u00e9t\u00e9 install\u00e9    ;\u003c/LI\u003e    \u003cLI\u003etous les syt\u00e8mes d\u0027exploitation Windows sur lesquels un    utilisateur ouvrirait la pi\u00e8ce jointe malveillante.\u003c/LI\u003e  \u003c/UL\u003e",
  "closed_at": "2017-06-27",
  "content": "## Vecteurs d\u0027infection\n\nLe vecteur d\u0027infection initial pourrait \u00eatre un courriel avec une pi\u00e8ce\njointe malveillante.\n\nLe programme malveillant ensuite ex\u00e9cut\u00e9 peut \u00eatre vu comme constitu\u00e9 de\ndeux parties :\n\n-   un composant charg\u00e9 de la propagation via le r\u00e9seau en exploitant\n    une vuln\u00e9rabilit\u00e9 SMB ;\n-   un ran\u00e7ongiciel.\n\n## Contournement provisoire\n\n## Recommandations\n\nLe CERT-FR recommande :\n\n-   l\u0027application imm\u00e9diate des mises \u00e0 jour de s\u00e9curit\u00e9 permettant de\n    corriger les failles exploit\u00e9es pour la propagation (MS17-010 pour\n    les syst\u00e8mes maintenus par l\u0027\u00e9diteur) ;\n-   le respect des recommandations g\u00e9n\u00e9riques relatives aux\n    ran\u00e7ongiciels ;\n-   de limiter l\u0027exposition du service SMB, en particulier sur internet.\n\nUn correctif de l\u0027\u00e9diteur est aussi disponible pour les syst\u00e8mes\nobsol\u00e8tes suivants :\n\n-   Windows XP SP2 pour processeurs x64 ;\n-   Windows Server 2003 ;\n-   Windows XP SP3 pour XPe ;\n-   Windows XP SP3 ;\n-   Windows Vista ;\n-   Windows Server 2008 ;\n-   WES09 et POSReady 2009 ;\n\nIl peut \u00eatre t\u00e9l\u00e9charg\u00e9 depuis\n\u003chttps://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598\u003e.\n\n## Pr\u00e9vention\n\nDe mani\u00e8re pr\u00e9ventive, s\u0027il n\u0027est pas possible de mettre \u00e0 jour un\nserveur, il est recommand\u00e9 de l\u0027isoler logiquement, voire de l\u0027\u00e9teindre\nle temps d\u0027appliquer les mesures adapt\u00e9es de protection.\n\nLa d\u00e9sactivation du protocole SMBv1 peut \u00eatre un plus mais ne saurait\nremplacer l\u0027installation des correctifs.\n\n## R\u00e9cup\u00e9ration des donn\u00e9es chiffr\u00e9es par WannaCrypt\n\nEn cas d\u0027infection par la version actuelle du ran\u00e7ongiciel WannaCrypt\nsous Windows XP, Windows 2003 et Windows 7 dans ses versions x86, une\ntentative de d\u00e9chiffrement de vos donn\u00e9es peut \u00eatre effectu\u00e9e \u00e0 l\u0027aide\ndes outils WanaKiwi, ou bien WannaKey accompagn\u00e9 de Wanafork. Ces outils\nsont disponibles en source ouverte depuis\n\u003chttps://github.com/gentilkiwi/wanakiwi/releases\u003e,\n\u003chttps://github.com/aguinet/wannakey\u003e et\n\u003chttps://github.com/odzhan/wanafork/\u003e.\n\nCette op\u00e9ration n\u0027est pas garantie de fonctionner mais n\u0027alt\u00e9rera aucun\nfichier en cas d\u0027\u00e9chec. Afin d\u0027am\u00e9liorer les chances de r\u00e9ussite de ces\noutils, le CERT-FR recommande de suivre les proc\u00e9dures suivantes :\n\n-   Le syst\u00e8me ne doit pas avoir \u00e9t\u00e9 red\u00e9marr\u00e9 apr\u00e8s l\u0027infection, auquel\n    cas les outils cit\u00e9s ci-dessus ne fonctionneront pas;\n-   Il est d\u00e9conseill\u00e9 de manipuler le syst\u00e8me apr\u00e8s infection, mis \u00e0\n    part pour lancer les outils de r\u00e9cup\u00e9ration des donn\u00e9es chiffr\u00e9es.\n\nEn cas de r\u00e9ussite, les fichiers chiffr\u00e9s (.WNCRY) sont gard\u00e9s intacts\net les donn\u00e9es d\u00e9chiffr\u00e9s sont enregistr\u00e9es dans des fichiers s\u00e9par\u00e9s.\n\n## Mesures r\u00e9actives\n\nSi le code malveillant est d\u00e9couvert sur vos syst\u00e8mes, le CERT-FR\nrecommande de d\u00e9connecter imm\u00e9diatement du r\u00e9seau les machines\nidentifi\u00e9es comme compromises. L\u0027objectif est de bloquer la poursuite du\nchiffrement et la destruction des documents partag\u00e9s.\n\nLe CERT-FR recommande aussi d\u0027alerter le responsable s\u00e9curit\u00e9 ou le\nservice informatique au plus t\u00f4t.\n\nAussi, le CERT-FR recommande de prendre le temps de sauvegarder les\nfichiers importants sur des supports de donn\u00e9es isol\u00e9s. Ces fichiers\npeuvent \u00eatre alt\u00e9r\u00e9s ou encore \u00eatre infect\u00e9s. Il convient donc de les\ntraiter comme tels. De plus, les sauvegardes ant\u00e9rieures doivent \u00eatre\npr\u00e9serv\u00e9es d\u0027\u00e9crasement par des sauvegardes plus r\u00e9centes.\n\nLe bulletin d\u0027actualit\u00e9 CERTFR-2015-ACT-004 pr\u00e9cise de mani\u00e8re plus\ncompl\u00e8te les mesures \u00e0 appliquer (cf. section Documentation).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "wanakiwi",
      "url": "https://github.com/gentilkiwi/wanakiwi/releases"
    },
    {
      "title": "CERTFR-2017-AVI-082",
      "url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-082/index.html"
    },
    {
      "title": "wannacrypt-ransomware-worm-targets-out-of-date-systems",
      "url": "https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/"
    },
    {
      "title": "disablesmb1",
      "url": "https://aka.ms/disablesmb1"
    },
    {
      "title": "CERTFR-2015-ACT-004",
      "url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-004/index.html"
    },
    {
      "title": "wannakey",
      "url": "https://github.com/aguinet/wannakey"
    },
    {
      "title": "CERTFR-2017-ACT-019",
      "url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-019/index.html"
    },
    {
      "title": "technet.microsoft.com",
      "url": "https://technet.microsoft.com/fr-fr/library/security/MS17-010"
    },
    {
      "title": "CERTFR-2017-ACT-016",
      "url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-016/index.html"
    },
    {
      "title": "customer-guidance-for-wannacrypt-attacks",
      "url": "https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/"
    },
    {
      "title": "wanafork",
      "url": "https://github.com/odzhan/wanafork/"
    },
    {
      "title": "Microsoft",
      "url": "https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598"
    }
  ],
  "reference": "CERTFR-2017-ALE-010",
  "revisions": [
    {
      "description": "version initiale ;",
      "revision_date": "2017-05-12T00:00:00.000000"
    },
    {
      "description": "mise \u00e0 jour ;",
      "revision_date": "2017-05-13T00:00:00.000000"
    },
    {
      "description": "ajout de la sous-section \"R\u00e9cup\u00e9ration des donn\u00e9es chiffr\u00e9es par WannaCrypt\" ;",
      "revision_date": "2017-05-19T00:00:00.000000"
    },
    {
      "description": "cl\u00f4ture de l\u0027alerte.",
      "revision_date": "2017-06-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur"
    }
  ],
  "summary": "Le CERT-FR constate l\u0027apparition d\u0027un nouveau ran\u00e7ongiciel qui exploite\ndes vuln\u00e9rabilit\u00e9s d\u0027ex\u00e9cution de code \u00e0 distance pour se propager. Ces\nvuln\u00e9rabilit\u00e9s sont celles d\u00e9crites dans le bulletin de s\u00e9curit\u00e9\nMS17-010 (cf. CERTFR-2017-AVI-082, section Documentation).\n\nL\u0027attention est attir\u00e9e sur le fait que :\n\n-   plusieurs variantes du ran\u00e7ongiciel ont pu \u00eatre distribu\u00e9es ;\n-   le composant ran\u00e7ongiciel a pu \u00eatre remplac\u00e9 dans certains cas par\n    un composant moins visible.\n",
  "title": "Propagation d\u0027un ran\u00e7ongiciel exploitant les vuln\u00e9rabilit\u00e9s MS17-010",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.