Contrairement à la plupart des attaques de ransomware, qui se produisent via des emails de phishing ou des kits d’exploitation, les attaques de ransomware SMBv1 se produisent à distance et ne requièrent aucune interaction de l’utilisateur.
Ces attaques exploitent une vulnérabilité du protocole Windows Server Message Block Protocol (SMB). Il s’agit d’un protocole de communication généralement utilisé pour partager les imprimantes et autres périphériques réseau. SMB fonctionne dans la couche application et est généralement utilisé sur les ports TCP/IP 445 et 139.
Généralités
Depuis sa création, l’une des principales caractéristiques des systèmes d’exploitation Windows est le transfert de fichiers. De nouvelles mises à jour ont été publiées, ce qui a permis à la marque de définir de nouvelles options pour exécuter le protocole SMB au sein des réseaux d’entreprise.
SMB est l’un des protocoles les plus prisés et les plus pratiques pour effectuer des transferts de fichiers en raison de ses nombreuses fonctionnalités. Avec le développement des nouvelles technologies, ce protocole a été mainte fois mis à jour, car les développeurs de Microsoft ont découvert des failles de sécurité qui risquaient de mettre en danger l’intégrité du réseau et des informations sensibles qui y sont hébergées.
Le protocole SMB a été lancé depuis plus d’une vingtaine d’années, à commencer par la première version (SMB v1), mais la marque dispose actuellement de la version SMB v3 qui offre une sécurité plus élevée.
Il convient de préciser qu’à l’heure actuelle, il existe des versions antérieures de Windows, ainsi que d’autres applications fonctionnant sous Android et Linux et qui ne sont pas compatibles avec SMB v2 et SMB v3. Dans ce cas, il faudra activer temporairement le protocole SMB1 pour transférer des fichiers (plus tard, nous allons vous expliquer comment l’activer de façon simple).
Qu’est-ce que le SMBv1 ?
SMBv1, ou simplement SMB1, est la première version du protocole de réseau de partage de fichiers qui est utilisé quotidiennement par presque toutes les entreprises.
Vous rappelez-vous de l’époque où vous deviez utiliser des ordinateurs avec le système d’exploitation Windows et où vous aviez deviez utiliser un lecteur « X » ou un lecteur « Z » pour stocker vos fichiers sur le réseau ?
Si c’est le cas, vous devriez donc savoir qu’à chaque fois que vous vouliez déplacer des fichiers entre un « lecteur réseau » et votre ordinateur local, vous deviez utiliser le SMB.
Au fil des ans, Windows a développé plusieurs versions du protocole SMB. La plus répandue étant SMB2 et SMB3.
À noter que la version SMB1 a été développée depuis une trentaine d’années. Beaucoup d’entreprises de nos jours n’existaient même pas à l’époque.
C’est pour cette raison que le protocole SMB1 est considéré comme un logiciel des années 80, où le monde était sans cybercriminels et où le volume des données n’était pas encore important. En outre, l’utilisation des ordinateurs n’était pas encore universelle.
En mars 2017, Microsoft a publié un correctif pour les vulnérabilités du protocole SMBv1, mais de nombreuses entreprises et de nombreux utilisateurs particuliers ne l’ont pas encore appliqué.
Pourtant, si vos systèmes ne sont pas tenus à jour, les pirates peuvent exploiter certaines vulnérabilités pour diffuser des malwares et des ransomwares.
Peut-on accéder aux fichiers sur les périphériques réseau en utilisant SMB v1 sous Windows 10 ?
SMB est un protocole de partage de fichiers en réseau inclus dans Windows 10. Il permet de lire et d’écrire des fichiers, ou encore d’effectuer d’autres demandes de service sur des appareils connectés à un réseau. D’une manière générale, vous pouvez utiliser SMB pour vous connecter à des appareils qui ne fonctionnent pas sous Windows, comme un routeur disposant des capacités de partage de fichiers, un « Network-Attached Storage » ou d’autres appareils fonctionnant sous Linux.
Bien que SMB soit désormais disponible en trois versions majeures, il est possible que certains de vos appareils fonctionnent encore avec la version originale, c’est-à-dire SMB v1, qui est ancienne et peu sûre.
Windows 10 n’installe plus ce protocole par défaut depuis 2018. Lorsque vous voulez accéder à vos fichiers en utilisant ce protocole, vous obtiendrez donc un message d’erreur du type « Erreur non spécifiée 0x80004005 », « Le nom de réseau spécifié n’est plus disponible », ou bien « Vous ne pouvez pas vous connecter au partage de fichiers, car il n’est pas sécurisé ».
Si vous ne pouvez plus accéder à certains fichiers, cela signifie que votre appareil utilise encore le protocole SMB v1, qui n’est plus pris en charge par Windows 10. Toutefois, vous pouvez toujours y accéder temporairement et désactiver le protocole pour protéger votre ordinateur.
Pour ce faire, vous pouvez récupérer vos fichiers en suivant les étapes suivantes :
- Ouvrir le panneau de contrôle.
- Cliquez sur « Programmes ».
- Cliquez sur « Activer ou désactiver les fonctionnalités de Windows ».
- Activez « SMB 1.0/CIFS File Sharing Support ».
- Cochez « SMB 1.0/CIFS Client ».
- Cliquez « OK ».
- Cliquez « Redémarrer maintenant ».
Ceci étant fait, vous pourrez à nouveau voir vos fichiers et vous connecter à des périphériques réseau qui fonctionnent encore sous l’ancien protocole SMB v1 sur votre réseau local à partir d’un ordinateur utilisant Windows 10.
Bien entendu, ces étapes ne doivent être utilisées qu’en guise de solution temporaire afin de vous permettre de retrouver l’accès à vos fichiers stockés sur un réseau.
Une faille critique dans le protocole SMBv1 avait été identifiée
Une faille critique dans le SMBv1 avait été identifiée et corrigée par Microsoft lors d’une mise à jour de sécurité en date du 14 mars 2017 (MS17-010).
À l’époque, Microsoft avait prévenu que l’exploitation de cette faille pouvait permettre l’exécution de code à distance sur un système vulnérable.
Un programme appelé EternalBlue aurait été utilisé pendant quatre ans par le groupe informatique de cyberespionnage de haut niveau, Equation Group, lié à la National Security Agency (NSA) avant que la vulnérabilité ne soit éliminée.
Des hackers ont utilisé Eternalblue à des fins malveillantes
Ce programme et plusieurs autres ont été dérobés par un groupe de pirates appelé Shadow Brokers. Ces développeurs de malwares l’ont ensuite utilisé pour attaquer à distance les systèmes vulnérables, notamment les systèmes d’exploitation plus anciens comme Windows 7 et Windows Server 2012. Mais sachez que d’autres systèmes sont également vulnérables, à l’exemple de Windows Server 2016.
La mise à jour de sécurité MS17-010 permet désormais de corriger ces failles. Dans la foulée, même si le système d’exploitation n’est plus très utilisé de nos jours, Microsoft a publié un correctif pour mieux le sécuriser.
Les attaques de ransomware de SMB v1 les plus connus se sont produites en mai et impliquaient WannaCry, un malware qui a exploité la vulnérabilité SMB v1 et a utilisé le port TCP 445 pour se propager. Ces attaques de ransomware SMB v1 ont été menées dans le monde entier, bien qu’heureusement un commutateur de mise à mort ou « kill switch » ait été trouvé. Le kill switch avait permis de désactiver le ransomware et d’empêcher le chiffrement des fichiers.
Attaque WannaCry
En mai 2017, WannaCry a utilisé le kit d’exploitation afin de cibler les systèmes Windows, en chiffrant les données et en exigeant le paiement d’une rançon en Bitcoin.
Le ransomware se propageait comme un ver informatique, latéralement sur les ordinateurs et en exploitant la vulnérabilité SMB de Windows.
Le kit d’exploitation a permis aux pirates d’infecter environ 200 000 ordinateurs répartis dans 150 pays.
Selon des recherches récentes, environ 1,7 millions de dispositifs connectés à Internet demeurent encore vulnérables à l’exploitation de SMB v1.
Bien entendu, Microsoft a déjà publié un correctif pour remédier à cette vulnérabilité. Mais il y a également un autre risque : même lorsque des correctifs ont été appliqués, certains dispositifs de sécurité peuvent être oubliés.
Malgré le succès contre WannaCry, les attaques SMB v1 ne cessent de continuer. NotPetya, qui est un wiper destructeur, plutôt qu’un ransomware, a par exemple utilisé le programme EternalBlue. Les développeurs de malwares l’ont bel et bien intégré dans leur arsenal pour attaquer les systèmes vulnérables.
Attaque Petya
Petya est un ransomware qui a utilisé l’exploit EternalBlue pour faire des ravages. Il a été lancé au début de 2016, avant WannaCry. Au départ, le ransomware n’était pas encore très connu et ses dégâts étaient encore moindres.
Petya s’est répandue via une pièce jointe malveillante à un email que les pirates envoyaient à leurs victimes. Il peut donc être considéré comme un ransomware classique, dont le but est d’infecter votre ordinateur et vos fichiers dans le but de les chiffrer, et vous devez payer une rançon pour obtenir la clé de déchiffrement.
En fait, il ne faut jamais payer la rançon !
Au lieu de chiffrer les fichiers un par un (comme le font la plupart des malwares), Petya empêche l’utilisateur d’accéder à l’intégralité de son disque dur. Pour ce faire, il chiffre la table de fichiers maîtres (MFT) pour que le système de fichiers devienne illisible et pour que le système d’exploitation ne démarre plus.
D’autres versions de Petya peuvent également chiffrer à la fois les fichiers et la table de fichiers principale (MFT). Dans tous les cas, le résultat reste le même. Une fois qu’un appareil est infecté par Petya, l’utilisateur ne pourra plus accéder à ses fichiers jusqu’à ce qu’il paye la rançon.
Bien que la plupart des entreprises aient maintenant appliqué le correctif MS17-010, certaines d’entre elles utilisent encore des systèmes d’exploitation obsolètes. Ceux-ci restent donc vulnérables aux attaques de ransomware de SMB v1.
D’autres développeurs de malwares peuvent par exemple utiliser un kit d’exploitation pour livrer des chevaux de Troie bancaires.
Quelles solutions adopter contre les attaques de ransomware ?
Les attaques cybercriminelles via WannaCry et Petya se sont propagées en utilisant des failles dans l’ancien protocole SMB v1. Pourtant, Microsoft active toujours par défaut cette fonctionnalité pour certaines versions de Windows.
Si vous ne voulez pas être la prochaine victime d’un kit d’exploitation diffusé par des pirates, vous devriez donc vous assurer que le protocole SMB v1 est désactivé sur votre dispositif, que vous utilisiez Windows 7, 8 ou 10.
Dans ce qui suit, nous allons vous montrer comment désactiver SMB v1 sur ces trois systèmes d’exploitation.
Désactiver SMB v1 sous Windows 8 ou 10
Si vous utilisez Windows 8 ou 10, Microsoft désactivera automatiquement SMB v1 à partir de la mise à jour « Fall Creators ».
Pour ce faire, voici les étapes à suivre :
- Cliquez sur « Démarrer » puis sur « Panneau de configuration »,
- Cliquez sur « Programmes »,
- Activez ou désactivez les fonctionnalités de Windows.
Pour faire simple, vous pouvez aussi ouvrir le menu Démarrer, cliquer sur « Fonctionnalités » dans la boîte de recherche, et cliquer sur le raccourci « Activer ou désactiver les fonctionnalités de Windows ».
Ensuite, faites défiler la liste et trouvez l’option « SMB 1.0/CIFS File Sharing Support ».
Pour finir, vous devez décocher la case correspondant à cette option pour désactiver SMB v1, puis valider en cliquant sur « OK ».
Vous serez invité à redémarrer votre PC après avoir effectué ce changement.
Désactiver SMB v1 sous Windows 7
Dans ce cas, vous allez devoir modifier le registre.
D’abord, vous devez savoir que l’éditeur de registre est un outil puissant qui vous permet de faire des modifications sous Windows. Par contre, si vous l’utilisez de manière abusive, cela peut rendre votre système inopérant ou instable.
En effet, modifier le registre, c’est comme pirater votre ordinateur. Prenez donc soin de faire une sauvegarde avant d’y apporter des modifications.
Voyons maintenant comment pouvez-vous désactiver SMB v1 sous Windows 7.
Pour commencer, vous allez ouvrir l’éditeur de registre en cliquant sur « Démarrer » et en tapant sur la case de recherche « regedit ».
Ensuite, vous appuyez sur la touche « Entrée » pour ouvrir l’éditeur de registre afin de lui donner la permission d’apporter des modifications à votre ordinateur.
Dans l’éditeur de registre, pointez votre curseur sur la barre latérale gauche jusqu’à ce que vous arriviez à la touche suivante :
HKEY_LOCAL_MACHINE\SYSTÈME\CurrentControlSet\Services\LanmanServer\Paramètres
Cliquez sur « Paramètres » pour créer une nouvelle valeur dans la sous-clé. Choisissez ensuite l’option « Nouveau », puis entrez le code « Valeur DWORD (32 bits). »
Nommez la nouvelle valeur SMB1.
Ceci étant fait, le DWORD sera créé avec une valeur « 0 ». Cela signifie que vous avez désactivé SMB v1.
De cette manière, vous n’avez plus besoin de modifier la valeur une fois que vous l’avez créée.
Autre solution : appliquer les mises à jour
Pour éviter les attaques de ransomwares SMB v1, les entreprises devraient s’assurer que leurs systèmes sont mis à jour. Elles devraient également effectuer un scan pour que tous les périphériques réseau soient à jour. Ces mesures peuvent empêcher l’installation de ransomwares ou de malwares.
Il existe plusieurs outils disponibles dans le commerce qui peuvent être utilisés pour rechercher les périphériques réseau non corrigés, y compris l’outil gratuit d’ESET que vous trouverez ici. Il est également recommandé de bloquer le trafic associé à EternalBlue via votre système IDS ou votre pare-feu.
Pour une raison ou une autre, si vous utilisez encore Windows XP, vous pouvez au moins empêcher l’exploitation de la faille SMB avec ce patch. Pour tous les autres systèmes, le patch MS17-010 se trouve ici.
Comment mettre à jour votre système avec MS17-010 ?
Pour éviter l’exploitation du protocole SMB v1, il est recommandé d’installer la mise à jour de sécurité MS17-010 qui a été publié par Microsoft. Ainsi, vous pourrez mieux protéger votre ordinateur contre différents types d’attaques comme celle du ransomware WannaCry.
Pour Installer la mise à jour de sécurité MS17-010, vous devez suivre les étapes ci-après en fonction du système d’exploitation Microsoft que vous utilisez.
Windows 7
D’abord, vous devez déconnecter votre ordinateur du réseau, en désactivant le Wi-Fi ou en débranchant le câble réseau.
Ensuite, redémarrez votre ordinateur. Si un kit d’exploitation a déjà infecté l’appareil et si vous ne le déconnectez pas du réseau, cela peut empêcher son redémarrage.
Après cette étape, vous pouvez exécuter le programme d’installation de MS17-010 avant de redémarrer une nouvelle fois votre ordinateur.
Une fois le processus d’installation terminée, vous pouvez reconnecter votre ordinateur au réseau.
Bon à savoir : il est possible que la procédure de dépannage ci-dessus ne fonctionne pas. Dans ce cas, il existe une alternative :
Redémarrez votre ordinateur.
Accédez aux mises à jour Windows en allant cliquant sur :
- Démarrer
- Panneau de configuration
- Système et sécurité
- Windows Update
- Rechercher les mises à jour
- Installer toutes les mises à jour disponibles.
Windows 8
Comme pour Windows 7, avant d’installer la mise à jour sur Windows 7, il faut télécharger MS17-010 et l’enregistrer sur votre bureau.
Ensuite, vous devez :
- Déconnecter votre ordinateur du réseau (débranchez le Wi-Fi ou le réseau filaire).
- Redémarrer votre ordinateur.
Si un kit d’exploitation a déjà infecté votre ordinateur et si vous ne déconnectez pas l’appareil du réseau, cela peut empêcher son redémarrage.
Une fois que votre ordinateur a redémarré :
- Exécutez la mise à jour MS17-010.
- Redémarrez une nouvelle fois l’ordinateur.
- Reconnectez l’appareil au réseau.
Bon à savoir : il est possible que la procédure de dépannage ci-dessus ne fonctionne pas.
Dans ce cas, sachez qu’il existe une solution alternative :
Redémarrez votre ordinateur
Accédez aux mises à jour Windows en cliquant sur :
- Démarrer
- Panneau de configuration
- Système et sécurité
- Windows Update
- Rechercher les mises à jour
- Installer toutes les mises à jour disponibles.
Windows 10
Pour installer MS17-010 sur Windows 10, il suffit de :
- Redémarrer votre ordinateur,
- Cliquer sur « Démarrer »,
- Sélectionner « Paramètres »,
- Cliquer sur « Mise à jour et sécurité »,
- Allez à « Windows Update »,
- Rechercher les mises à jour
- Installer toutes les mises à jour disponibles.
En cas de problèmes de mise à jour, vous avez encore une option, à savoir d’utiliser l’Assistant de mise à jour Windows 10.
Les antivirus sont-ils efficaces contre l’exploitation de la faille SMB v1 ?
Tous les fournisseurs de solutions antivirus prétendent être en mesure de protéger les utilisateurs contre EternalBlue et WannaCry. Mais en réalité, ils ne développent que des antivirus pouvant contrer seulement la charge utile. Autrement dit, les utilisateurs ne sont pas entièrement protégés contre les codes malveillants qui fonctionnent en mode kernel,
C’est pour cette raison que TitanHQ a développé des solutions utilisant les technologies de dernière génération et d’introspection de la mémoire pour protéger les fournisseurs de services gérés et leurs entreprises contre les ransomwares le plus agressifs comme WannaCry.
TitanHQ fait appel aux solutions Bitdefender GravityZone et Bitdefender Hypervisor pour vous protéger des vagues d’attaques, en détectant et interceptant à la fois le mécanisme d’entrée des éventuelles variantes du ransomware WannaCry.
Le principal moteur anti-virus de SpamTitan – une couche de sécurité efficace de TitanHQ – est fourni par Bitdefender. Cette marque développe l’un des moteurs antivirus les plus primés pour la protection exceptionnelle qu’elle fournit contre les ransomwares, les malwares et les virus.
Cette couche de sécurité est combinée avec un moteur antivirus secondaire : ClamAV. Il s’agit d’une couche de sécurité supplémentaire et efficace contre les malwares, les virus, les chevaux de Troie, les malware et les ransomwares diffusés via la messagerie électronique.
Des vulnérabilités ont déjà existé. Elles existent encore et continueront d’exister. Par ailleurs, les failles de sécurité seront encore exploitées par les pirates informatiques avant la publication des mises à jour. Pendant cette période, vous n’aurez donc aucun moyen de vous protéger contre les nouveaux kits d’exploitations.
Seuls des antivirus fiables pourront vous protéger contre le téléchargement de malwares et réagir à l’apparition de nouveaux fichiers dans votre système d’exploitation.
L’essentiel est donc de garder votre antivirus activé.
À propos de TitanHQ
TitanHQ est un fournisseur de services de sécurité web basée dans le cloud. Selon la marque, le troisième trimestre 2019 a été la période pendant laquelle elle a connu une croissance phénoménale, et ce, depuis 25 ans. Cette croissance est le fruit de l’augmentation de la demande de ses solutions de sécurité : SpamTitan et WebTitan.
Plus de 2 200 fournisseurs de services gérés travaillent actuellement avec TitanHQ et utilisent sa plate-forme. La société irlandaise fournit également des solutions de sécurité réseau, incluant la sécurité des emails et le filtrage DNS, ainsi qu’un système d’archivage des emails, ArcTitan.
La marque s’engage à fournir des produits efficaces et des ressources techniques supplémentaires, des systèmes de tarification flexibles et des marges concurrentielles qui répondent aux besoins des fournisseurs de services gérés. Ses clients peuvent bénéficier d’un important support de vente et de marketing, avec l’accompagnement des ingénieurs, des gestionnaires de comptes et des équipes de soutien dédiés.
Vous voulez savoir comment vous protéger des attaques contre SMB v1 et contre les menaces de malwares et de ransomwares ? Contactez-nous dès aujourd’hui.