<link rel="stylesheet" id="dashicons-css" href="https://c0.wp.com/c/5.6/wp-includes/css/dashicons.min.css" type="text/css" media="all">
ActualitésSécurité

Les exploitants de NSA divulgués plantent un œil sur Windows Server

Un groupe de piratage a filtré les outils d’espionnage vendredi pour pouvoir cibler les anciennes versions de Windows.

La publication vendredi d’outils suspects d’espionnage NSA est une mauvaise nouvelle pour les entreprises exécutant Windows Server. Les cyber-armes, qui sont maintenant accessibles au public, peuvent facilement pirater des anciennes versions du système d’exploitation.

The Shadow Brokers, un mystérieux groupe de piratage, a divulgué les fichiers en ligne, annonçant les inquiétudes que les cybercriminels les incorporeront dans leurs propres hacks.

« Cette fuite met les outils de nation-state entre les mains de quiconque les veut », a déclaré Matthew Hickey, directeur du fournisseur de sécurité Hacker House.

Il a été parmi les chercheurs qui regardent les fichiers et a constaté qu’ils contiennent environ 20 exploits différents basés sur Windows, dont quatre semblent exploiter les vulnérabilités de logiciels jusqu’alors inconnues.

Chaque exploit fonctionne comme un programme qui profite d’un défaut de sécurité. Les chercheurs examinent toujours les fichiers divulgués, mais les exploits semblent fonctionner sur d’anciennes versions Windows, y compris NT, XP et Windows 7.

Cependant, les ordinateurs exécutant Windows Server sont particulièrement à risque, a déclaré Hickey. C’est parce que les exploits sont généralement conçus pour tirer parti des vulnérabilités dans les fonctions de serveur en ligne d’une machine.

Hickey a constaté qu’un tel exploit inclus dans la fuite, appelé Eternalblue, peut causer à distance des anciennes versions de Windows pour exécuter du code. Dans une vidéo, il a démontré cela contre une machine exécutant Windows Server 2008 R2 SP1 et a retiré le hack en moins de deux minutes.

« Un attaquant peut utiliser ces outils pour pirater efficacement les ordinateurs Windows dans le monde et exécuter leur propre code pour les attaques », a-t-il déclaré.

Par exemple, un pirate peut ouvrir une porte dérobée dans la machine pour télécharger d’autres malveillants qui peuvent agir en tant que ransomware ou voler des données sensibles.

Ce qui rend les exploits un problème particulièrement important, c’est que les anciennes versions de Windows Server restent largement utilisées. La dernière version, Windows Server 2016, n’a été lancée que l’année dernière.

« Ce sont des vulnérabilités très graves, avec un impact très grave sur Microsoft », a déclaré Hickey.

Microsoft n’a pas encore publié un correctif, et il n’est pas clair quand cela pourrait se produire. Vendredi, le géant du logiciel a déclaré qu’il étudiait toujours les exploits en fuite.

Les ordinateurs derrière un pare-feu devraient être sécurisés. Pour ceux qui ne le sont pas, les entreprises devraient envisager de désactiver certaines fonctions utilisées par les exploits, a déclaré Amol Sarwate, directeur de l’ingénierie de la société de sécurité Qualys.

Par exemple, l’exploitation Eternalblue exploite les protocoles Server Message Block et NetBT pour détourner le système.

Il recommande également aux entreprises d’inventaire de leurs actifs informatiques afin de savoir quels serveurs pourraient être vulnérables.

« Les clients devraient surveiller de manière proactive pour cela, et bien sûr, avoir une stratégie pour les réparer » quand un patch est disponible, a déclaré Sarwate. « La gestion des actifs est très cruciale ici. »

Afficher plus
Bouton retour en haut de la page
Fermer