Résumé
Avis aux clients ESET 2017-0010
15 mai 2017
Gravité : Critique
Le vendredi 12 mai 2017, des attaques massives du ransomware Win32/WannaCryptor ont été signalées dans le monde entier, impactant diverses institutions, y compris des hôpitaux, provoquant une interruption des services fournis. Il convient de noter que cette attaque a été le premier logiciel malveillant à se propager massivement en exploitant la vulnérabilité CVE-2017-0144 dans SMB pour se propager sur le réseau local. En particulier, si un utilisateur ouvrait un fichier malveillant généralement joint à un courriel, le logiciel malveillant commençait à se propager aux ordinateurs non corrigés du réseau local et à chiffrer les fichiers, en y ajoutant l'extension WNCRY.
Avis aux clients
Détails
Le serveur SMBv1 dans Microsoft Windows Vista SP2 ; Windows Server 2008 SP2 et R2 SP1 ; Windows 7 SP1 ; Windows 8.1 ; Windows Server 2012 Gold et R2 ; Windows RT 8.1 ; et Windows 10 Gold, 1511, et 1607 ; et Windows Server 2016 permet aux attaquants distants d'exécuter du code arbitraire via des paquets élaborés, alias "Vulnérabilité d'exécution de code à distance Windows SMB"
Le 14 mars, Microsoft a publié un correctif KB4012212 qui est inclus dans une mise à jour de rollup mensuel KB4012215. Les détails de la vulnérabilité ont été divulgués le 16 mars 2017.
Pour plus d'informations sur le ransomware WannaCryptor, veuillez lire :
- www.welivesecurity.com/2017/05/13/wanna-cryptor-ransomware-outbreak/
- support.eset.com/alert6442/
Solution
Nous recommandons fortement d'installer le correctif mentionné ci-dessus dès que possible, car d'autres attaques exploitant cette vulnérabilité pourraient survenir prochainement.
Le correctif peut être téléchargé à partir de https://technet.microsoft.com/en-us/library/security/MS17-010.
Pour les liens de téléchargement pour les systèmes d'exploitation plus anciens ou non pris en charge, tels que Windows XP SP3, Windows Server 2003 et Windows 8, voir https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.
Les solutions de sécurité ESET dotées d'une version actualisée du moteur de détection sont en mesure de détecter et d'arrêter ce logiciel malveillant. Sur les systèmes vulnérables, ESET Endpoint Security version 6 et ESET Smart Security version 9 et suivantes, ainsi qu'ESET Internet Security et ESET Smart Security Premium version 10 protègent le système contre l'exploitation à distance de la vulnérabilité au niveau du réseau, à l'aide du module de protection du réseau.
ESET NOD32 Antivirus et ESET Endpoint Antivirus ne contenant pas de pare-feu et ESET Endpoint Security version 5 ne contenant pas de module de protection réseau, ils ne peuvent pas fournir de protection au niveau du réseau.
Commentaires et assistance
Si vous avez des commentaires ou des questions sur ce problème, veuillez nous contacter en utilisant le Forum ESET Security, ou via votre local ESET Customer Care channels.
Journal des versions
Version 1.0 (15 mai 2017) : Version initiale de ce document
