 Il a été difficile de passer à côté de cette information tout au long du week-end vu avec quelle ferveur les médias français et internationaux se sont emparés du phénomène, je parle bien sûr du virus WannaCry (et non de la passation de pouvoirs qui en a même été un peu éclipsée).
Le ransomware WannaCry (Ransom:Win32/WannaCrypt) se propage sur le web par e-mail grâce à un classique procédé de hameçonnage (phishing) pour tromper l'utilisateur. Le virus utilise dès lors la faille de sécurité CVE-2017-0145 présente dans le protocole de partage de fichiers Server Message Block (SM des systèmes Windows pour infecter toutes les autres machines vulnérables du réseau local. WannaCry chiffre ensuite la majorité des documents de l'utilisateur suivant une liste d'extensions de fichiers prédéfinie ce qui empêche tout accès à ces fichiers à moins de payer une rançon de plusieurs centaines de dollars pour les débloquer. De très nombreuses entreprises et particuliers ont déjà été touchés en seulement trois jours.
Toutes les éditions de Windows sont concernées par cette faille de sécurité et Microsoft avait en réalité déjà corrigé cette faille depuis le 12 mars 2017 à l'occasion du Patch Tuesday du mois de mars (bulletin MS17-010 / KB4013389). Microsoft considérait alors cette vulnérabilité comme critique.
Bien évidemment, ce patch n'avait été développé et publié que pour les seules éditions de Windows encore supportées par Microsoft à cette date à savoir Windows Vista/7/8.1/10 ainsi que les OS serveurs correspondants (Windows Server 2008/2008 R2/2012/2012 R2/2016). Les anciens systèmes Windows XP, Windows Server 2003 mais aussi Windows 8 ne bénéficiaient donc pas du correctif en question et restaient vulnérables à un éventuel exploit de cette faille tout comme d'ailleurs à de très nombreuses autres failles découvertes ces dernières années.
Mais vue l'ampleur de l'attaque WannaCry qui s'est propagée dans le monde entier comme une véritable traînée de poudre en quelques heures, Microsoft a estimé qu'il ne pouvait pas rester les bras croisés sous peine de se prendre un retour de bâton et a mis en ligne dès samedi le patch KB4012598 pour les systèmes Windows XP (32/64 bit), XPe, 2003 et 8. Ce patch KB4012598 permet de corriger la faille dans le protocole SMB et donc de prévenir une éventuelle attaque du virus depuis le réseau local. Evidemment, ce patch ne pourra rien pour les machines déjà infectées !
Toute machine Windows non patchée (y compris fonctionnant avec un Windows plus récent) et dont le protocole SMB est activé (ce qui est le cas par défaut) peut être infectée dès son démarrage puisque la propagation se fait de manière automatique par le réseau sans aucune action de l'utilisateur et donc potentiellement avant que Windows Update ou l'utilisateur ait pu appliquer le patch correctif adéquat. Pour éviter qu'une machine éventuellement vulnérable ne soit infectée, avant de la mettre en marche, il est donc conseillé de la déconnecter immédiatement du réseau local et d'Internet que ce soit en Ethernet ou en Wi-Fi. On peut ensuite télécharger le patch depuis une machine saine (à jour) et le copier sur une clé USB par exemple puis appliquer ce patch sur le PC vulnérable. Une fois l'installation effectuée et le système redémarré, on peut le reconnecter au réseau sans craintes.
A noter que le serveur SMB (aussi connu sous le nom CIFS) de Windows utilise les ports TCP/UDP 445. Bloquer ces ports en entrée dans le pare-feu permet également de se protéger le temps d'installer le patch.
L'installation automatique du patch KB4012598 via Windows Update (WU) n'est pas possible puisque ce service a été désactivé par Microsoft pour Windows XP. Il serait par contre normalement possible d'utiliser le service complémentaire Microsoft Update (MU) qui, lui, est toujours opérationnel selon nos constatations.
Pour rappel, le système d'exploitation Windows XP n'est plus supporté depuis le 8 avril 2014 et ne bénéficie à ce titre (en théorie comme on vient de le voir) de plus aucune mise à jour de la part de Microsoft y compris dans le domaine de la sécurité. Utiliser Windows XP ou encore pire un serveur sous Windows Server 2003 est donc extrêmement risqué car un nombre énorme de failles de sécurité sont potentiellement exploitables pour pirater le système et ses données. Il est donc urgent de migrer vers un système plus récent toujours supporté (Windows 7 ou supérieur).
Vous pouvez télécharger ci-dessous le patch correctif KB4012598 sorti le 13 mai 2017 pour Windows XP/8/2003. Les liens vers les premières éditions (mars 2017) des patchs cumulatifs intégrant ce correctif pour les autres éditions de Windows sont également donnés dans le cas où Windows Update n'a pas déjà effectué la mise à jour automatiquement.
Téléchargement du correctif pour l'attaque WannaCry
|
Modérateur TLD
|
|
Actualités
25/04/24 Crucial publie l'ISO du firmware M3CR046 pour certains SSD Crucial MX500
25/04/24 Intel Arc Graphics 101.5445 WHQL
25/04/24 Fujifilm X100VI 1.10
24/04/24 Thermalright Core Vision/Frozen Warframe 1.2.4
24/04/24 Crucial MX500 CD/USB M3CR04x M3CR046
24/04/24 Pioneer DJ DJM-A9 1.04
