Le coin du IT – Wannacry

Le 12 mai 2017 a peut-être été un jour éprouvant pour certains suite à l’attaque Wannacry utilisant des outils volés à la NSA.   C’est un rappel pour plusieurs qu’il faut toujours avoir de bonnes procédures de maintenance de vos serveurs, de backups, et de prendre quelques minutes pour tester vos procédures de restauration pour vous assurer que le tout se fasse dans un cours laps de temps afin de réduire les temps d’arrêt.

Wannacry était une attaque parmi tant d’autre.  Dans les jours suivants WannaCry, d’autres attaques comme Adylkuzz ont été perpétrées en utilisant la même faille grâce à EternalBlue et ses petits frères (EternalSynergy, EternalChampion, EternalRomance, EternalRocks, ArchiTouch, SMBTouch, etc).  Donc si vous vous sentez à l’abris parce que vous avez appliqués les patchs de Microsoft, ou désactivé le SMBv1, dite vous que la NSA avait son lot d’outils pour exploiter toutes les failles que Microsoft avait dans son système d’exploitation Windows, et que juste désactiver le SMBv1 est loin d’être suffisant.  EternalSynergy par exemple, utilise une faille du SMBv3.

Si vous voulez plus de détails sur les failles exploitées par les outils volés à la NSA par le groupe Shadow Brokers, prenez le temps de lire cet article.

La prochaine fois qu’une attaque se produit, if you WannaSmile, assurez-vous de mettre toutes les chances de votre côté en vous préparant au pire, car même si Microsoft a corrigé la faille de WannaCry, nous ne savons pas encore tout ce qui nous pend au bout du nez.