Affaire Shadow Brokers

Yann Desmarest, e-Xpert Solutions: «Infecter une machine est désormais à la portée de tout le monde.»

| mise à jour

Yann Desmarest, Innovation Center Manager chez e-Xpert Solutions, détaille la nature des menaces liées aux outils malveillants divulgués récemment par le groupe de hackers Shadow Brokers.

Yann Desmarest, e-Xpert Solutions: «Le contexte d'exploitation est probablement le premier facteur aggravant pour cette menace.»
Yann Desmarest, e-Xpert Solutions: «Le contexte d'exploitation est probablement le premier facteur aggravant pour cette menace.»

Quels types d’outils malveillants a fait fuiter le groupe de hackers Shadow Brokers?

Shadow Brokers a publié une archive volée contenant plusieurs outils. Il y a un framework extrêmement simple à utiliser qui s'appelle «FuzzBunch». Ce dernier s'appuie sur des modules, un peu à la manière du framework «Metasploit». Le module «Eternal Blue» permet d'exploiter une faille de sécurité Windows jugée «critique» par Microsoft et découverte seulement un mois avant la divulgation des outils par Shadow Brokers. Le module «Eternal Blue» permet d'installer en quelques clics une porte dérobée sur une machine Windows. En complément, le module «Double Pulsar» permet d'utiliser cette porte dérobée et prendre complètement le contrôle de la machine infectée.

Pourquoi cette menace est-elle à prendre au sérieux?

Le contexte d'exploitation est probablement le premier facteur aggravant pour cette menace. En effet, cette attaque peut être menée à distance, sans aucune information ni accès à la machine cible. Depuis un Wifi public par exemple, un attaquant peut prendre le contrôle de toutes les machines Windows non patchées sur le même réseau Wifi. La menace est encore plus réelle depuis que Shadow Brokers a publié et donné libre accès aux outils. En effet, ces derniers sont très simples à utiliser, ils ne requièrent pas de compétences pointues pour s'en servir et infecter une machine. C'est désormais à la portée de tout le monde. Bien que les correctifs Microsoft soient publiés, il y a toujours de nombreuses machines vulnérables. De plus, les machines déjà infectées le seront même après l'application du patch et jusqu'à leur reboot.

Peut-on estimer le nombre de machines infectées par cette porte dérobée?

Plusieurs sociétés de sécurité ont entreprit de scanner tout Internet pour identifier le nombre de machines infectées. Certaines parlent de 15’000 postes, d'autres parlent de plus de 100’000 postes infectés. Je préfère rester prudent sur les chiffres avancés par ces différentes sociétés puisqu'ils ne sont pas réellement cohérents les uns par rapport aux autres.

Toutes les versions de Windows sont-elles touchées par ces vulnérabilités?

Au vu des correctifs proposés par Microsoft, il semble que toutes les versions de Windows sont touchées. Cependant, les OS Windows 10 et Windows Server 2016 n’ont pas encore d’exploit connu contrairement aux autres versions. Le gros point noir concerne le délai d'application des patchs. Dans plusieurs années, il y aura encore de nombreuses machines Windows vulnérables à travers le monde. Les machines Windows XP et Server 2003 sont également vulnérable mais aucun correctif n’est et ne sera disponible pour ces versions d’OS qui ne sont plus supportées par l’éditeur.

Les récents correctifs de Windows ne protègent-ils pas contre ce malware?

Les correctifs de Microsoft (MS17-010) sont sortis en mars et corrigent les vulnérabilités exploitées par des modules publiés par Shadow Brokers (notamment Eternal Blue, Eternal Champion, Eternal Synergy et Eternal Romance). Double Pulsar est un module permettant d'utiliser la porte dérobée installée, il n'est donc pas couvert par ces mises à jour. Il peut d'ailleurs être toujours actif sur une machine précédemment infectée même après l'application du correctif dans le cas où la machine n'a pas été redémarrée.

Comment se prémunir ou se débarrasser de cette infection pour les utilisateurs Windows?

Il faut d'abord appliquer les patchs Microsoft qui corrigent les failles exploitées, il est également recommandé de désactiver SMBv1 sur les machines Windows. Malgré tout, des machines Windows ont pu être infectées, il faut alors scanner son réseau en utilisant un des scripts de détection disponibles sur Internet et le cas échéant, supprimer la porte dérobée des machines infectées.

Webcode
DPF8_38246