Advertisements

Le retour de Conficker, douze ans après

Spread the love
Le retour de Conficker, douze ans après

La prolifération des objets connectés et des systèmes d’exploitation en fin de support laisse les réseaux ouverts à des attaques informatiques simples qui, dans de nombreux cas, auraient déjà dû finir dans les poubelles de l’histoire.

Conficker a vu le jour en 2008 : ce malware exploitait les failles de Windows XP et des anciens systèmes d’exploitation Microsoft pour se propager aux machines vulnérables et les relier à un botnet. On estime que 15 millions d’ordinateurs ont été victimes de Conficker en 2009 – mais plus de dix ans plus tard, le malware reste une menace active pour les organisations du monde entier.

Bien que cette forme de logiciel malveillant n’ait pas causé particulièrement de dégâts (ses auteurs auraient été réticents à avoir recours le botnet Conficker après avoir attiré tant d’attention) il sert de rappel sur les dangers que les vers et autres logiciels malveillants peuvent poser aux organisations; d’autant plus que le ver reste actif et que des centaines de milliers de machines seraient encore infectées aujourd’hui.

publicité

Conficker ne lache pas l’affaire

En 2015, ce chiffre s’élevait à 400 000 machines, mais selon le nouveau rapport de menace IoT de l’unité 42 de Palo Alto Networks, il y a eu une résurgence des infections de Conficker. Les chercheurs indiquent que le chiffre est maintenant d’environ 500 000.

Conficker continue de se propager en infectant les appareils médicaux connectés. Il exploite pour cela des failles dans des versions de Windows obsolètes ne disposant plus de mises à jour de sécurité. Le problème a tellement augmenté que les chercheurs notent que près d’un client de Palo Alto Networks sur cinq a détecté Conficker à un moment donné au cours des deux dernières années.

Un incident particulier a été porté à l’attention des chercheurs lorsque le logiciel de sécurité Zingbox IoT de Palo Alto Networks a détecté un trafic inhabituel sur le réseau.

«Nous avons observé un trafic réseau anormal, notamment un trafic SMB (Server Message Block) excessif, des algorithmes de génération de domaine (DGA) utilisés par les appareils infectés, ainsi que des modèles spécifiques dans les tentatives d’exécution de code shell Conficker», explique May Wang, ingénieure senior chez Palo Alto Networks et ancienne directrice technique de Zingbox

L’activité inhabituelle provenait d’une machine de mammographie et en quelques jours, il a été découvert que Conficker avait également infecté des appareils médicaux supplémentaires sur le réseau, y compris une autre machine de mammographie, une unité d’imagerie numérique, une machine de radiologie et d’autres.

Le personnel de l’hôpital a tenté de supprimer les infections en redémarrant ces appareils connectés, mais quelques heures après la remise en ligne des machines, Conficker les avait de nouveau infectées. En effet, ces appareils n’avaient pas reçu de correctifs de sécurité, les rendant vulnérables à de vieux logiciels malveillants comme celui-ci.

Dans ce cas, l’hôpital a fini par mettre tous les appareils hors ligne, à installer les derniers correctifs de sécurité, puis à les ramener un à un sur le réseau. Il a fallu une semaine avant que tous les appareils puissent être reconnectés au réseau.

L’une des principales raisons pour lesquelles le ver Conficker était en mesure se propager à travers les appareils médicaux était parce que beaucoup de ces appareils connectés ne sont pas surveillés comme les autres ordinateurs du réseau, fournissant ainsi une passerelle pour permettre à des logiciels malveillants ou à des attaquants de pénétrer un réseau.

Les pirates le savent et se tournent donc de plus en plus vers le développement de botnets spécifiques aux objets connectés tels que Mirai. Les versions open source du code de Mirai ont aidé à propulser un certain nombre d’attaques basées sur les objets connectés.

Bon sens et précautions

Cependant, les organisations peuvent sécuriser les objets connectés sur leur réseau et contribuer à la protection contre les cyberattaques en suivant quelques étapes simples décrites par Palo Alto Networks.

Tout d’abord, les organisations doivent analyser leurs réseaux pour découvrir tous les objets connectés qui s’y trouvent, car il est beaucoup plus facile de se protéger contre les menaces lorsque vous avez une idée de leur provenance.

Deuxièmement, les objets connectés courants tels que les imprimantes et les caméras de sécurité ainsi que les systèmes de surveillance des patients dans le secteur des soins de santé devraient recevoir des mises à jour de sécurité et des correctifs quotidiens pour garantir que si une vulnérabilité est découverte, l’appareil est protégé contre toute exploitation.

Troisièmement, les objets connectés devraient être segmentés sur un réseau séparé des ordinateurs de bureau et portables, afin d’empêcher les pirates de se déplacer latéralement si un appareil est compromis et ainsi que de réduire la surface d’attaque potentielle des pirates.

Cela signifie en fin de compte que si les attaquants accèdent d’une manière ou d’une autre à objets connectés, ils ne pourront pas l’exploiter pour se déplacer sur le reste du réseau, ce qui signifie que les ordinateurs resteront à l’abri de l’intrusion.

Mais l’essentiel est de s’assurer que les appareils potentiellement vulnérables sont corrigés, d’autant plus que la vulnérabilité que Conficker exploite a plus de dix ans, donc la mise à jour aurait dû être effectuée il y a longtemps.

“Vous courez un risque si vous exécutez un système d’exploitation non corrigé comme Windows XP, Windows Vista, Windows Server 2003 ou Windows Server 2008. Les utilisateurs doivent désactiver SMB lorsque le protocole n’est pas nécessaire, mettre à niveau le système d’exploitation Windows vers la dernière version, restreindre l’accès à Internet sur les appareils critiques et surveiller les appareils Windows OS 24h / 24 et 7j / 7 “, a déclaré Wang.

“Tant que des systèmes Windows obsolètes existeront ou que le protocole SMB continuera d’être utilisé, on retrouvera des infections via Conficker ou une autre famille de logiciels malveillants avec un mécanisme similaire”, a-t-elle ajouté.

Source : ZDNet.com

Advertisements

Leave a Reply