Désactiver SMBv1 et éviter les Ransomware !

Publié le 28/06/2017 par Red Kaffe

Les dernières vagues de Ransomware exploitent une faille de sécurité connue et normalement “patchée” avec le MS17-010 en utilisant “Eternal Blue” ‘leaké’ par The Shadow Brokers plus tôt cette année… plus d’info ici: https://fr.wikipedia.org/wiki/WannaCry

Donc, en théorie, il suffit de maintenir ses systèmes à jour pour l’éviter!

Si vous souhaitez prendre les devants, vous pouvez également désactiver SMBv1 qui est à la base de la vulnérabilité…et qui présente en plus, des inconvénients au niveau des performances par rapport à SMBv2…

Pour cela, je vous conseille de suivre les indications d’ Aaron Margosis, de Microsoft données ici : https://blogs.technet.microsoft.com/secguide/2017/06/15/disabling-smbv1-through-group-policy/ . Il s’appuie sur les ADMX/ADML du Guide de Sécurisation de Windows (que tout admin digne de ce nom devrait lire régulièrement) disponible ici : https://blogs.technet.microsoft.com/secguide/2017/06/15/security-baseline-for-windows-10-creators-update-v1703-draft/.

Si vous avez SCCM, vous pouvez aussi utiliser les “Compliance Settings”. Pour le faire, voir l’article de Cameron COX (Microsoft PFE) sur les étapes nécessaires ici : https://blogs.technet.microsoft.com/systemcenterpfe/2017/05/22/disable-smbv1-in-your-environments-with-configuration-manager-compliance-settings/

Et voilà un trés bon article de Mattias Benninge , pour utiliser le filtrage sur vos serveurs de fichiers afin de déceler rapidement une infection en cours de propagation : https://deploymentresearch.com/Research/Post/634/Using-File-Screen-to-block-Ransomware-like-WannaCry-on-server-shares-Part-1

Alors n’attendez pas la catastrophe pour réagir, cette deuxième vague n’aurait jamais dû avoir les conséquences qu’elle a, sachant qu’elle exploite les même failles que celles de WannaCry… il faut apprendre ou mourir (oui, je suis formateur…) et cela paraît fou de voir que quelques semaines après une telle attaque, de grands groupes n’aient toujours pas mis en place les correctifs ou mesures nécessaires pour se protéger contre une menace connue, exploitée et déjà identifiée clairement il y a plus de 6 mois.

Bon Patchage à tous !

PierrE.

A propos Red Kaffe

IT Trainer and Consultant on Microsoft Technologies. Windows Server and Client, Service Center 2012, WSUS/MDT/ADK/WAIK, SBS 2008/2011, Office 365, etc. Fully dedicated to support and train my customers...
Cet article, publié dans business, Ransomeware, Security, System Center, WSUS, est tagué , , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s