Post-mortem NotPetya

Actualités - Analyse - Posté on 17 Juil 2017 at 5:20 par Solange Belkhayat-Fuchs

medithIT b Deux analyses, un outil en ces lendemains d’attaques « du siècle »NotPetya/Wannacry. Analyse de Bitdefender, tout d’abord, qui se penche sur les mécanismes de NotPetya en fonction de la présence -ou non- de l’antivirus Kaspersky. L’article est simple, abordable, plus destiné à un lectorat d’usagers « power user » qu’à des professionnels de la sécurité. Utilisable donc en support pédagogique de sensibilisation.

Plutôt que de tenter de décortiquer Wannacry ou NotPetya, Elad Erez, directeur de la branche innovation chez Imperva, préfère aborder le sujet sous l’angle statistique, et ne s’intéresser qu’aux machines potentiellement vulnérables à EternalBlue, l’exploit made in NSA. En fournissant tout d’abord un scanner capable de détecter sur un réseau local les machines répondant présentes à une requête SMBv1 tout en précisant si elles sont « compatibles NSA » ou non. En dressant ensuite une série de tableaux statistiques tirés des scans effectués sur le réseau public durant les deux premières semaines de juillet. Et le tableau n’est pas très optimiste. Sur 23000 tests portant sur 8 millions d’adresses IP, 60 000 « hosts » seraient détectés vulnérables sur 537 000 machines « répondantes » au balayage IP. Et sur ce demi-million d’ordinateurs, 50 % possèdent une couche SMBv1. Détail étonnant, c’est en France que l’on trouve la plus grande proportion de réseaux Microsoft première génération détectés (13300), loin devant la Russie (11500) ou l’Ukraine (6500). La proportion de machines réellement vulnérables est considérablement plus faible. Erez avoue n’avoir trouvé que deux hôtes vulnérables sur le territoire Français. Dans l’ensemble, il est rare de compter plus d’une seule machine par pays directement exploitable par EternalBlue, ceci dans le cadre toutefois limité du scan réalisé, et sans préjuger de ce qu’il serait possible d’inventorier côté réseau local. Car un ordinateur portable infecté branché en deçà des défenses périmétriques d’une entreprise peut provoquer des dégâts importants, alors même que cette même entreprise ne témoignerait d’aucune signature SMB côté Wan.

Laisser une réponse