Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

L’antivirus doit toujours être activé

Lu par: 10333 Commentaires: 4 Cote de popularité: 8

vendredi 30 juin 2017

S’il n’y avait pas d’enjeu de sécurité, cela serait
intéressant de faire un test. On se connecte à Internet
sous Windows sans patch et on attend de voir qui
sera téléchargé le premier : une mise à jour ou un virus ?

https://geektimes.ru/post/289153

La cause principale de la " réussite " du Trojan WannaCry est l’existence d’une vulnérabilité dans le protocole SMB v1 (Server Message Block (SMB) en version 1), qui est utilisé pour le partage de fichiers et permet aux applications de lire et écrire des fichiers, ainsi que d'interroger les services des logiciels de serveur sur le réseau. Autrement dit, cela permet d'échanger des données avec tout programme de serveur qui est configuré de sorte qu'il puisse recevoir des requêtes clients SMB. À l’aide du protocole SMB, l’application ou l'utilisateur peuvent obtenir l'accès aux fichiers et aux autres ressources du serveur distant. Autrement dit, si vous ouvrez un accès à un dossier ou que vous utilisez les dossiers partagés sur d’autres ordinateurs, tout cela est assuré par le protocole SMB.

Ce protocole existe en trois versions. Sous Windows et Server 2016, la prise en charge de SMB 1.0 est activée par défaut, car un réseau local peut avoir des OS obsolètes non supportés, tels que Windows XP ou Server 2003. Si ces machines ne sont pas présentes dans le réseau, il est souhaitable de désactiver le protocole SMB 1x dans les versions Windows prises en charge ou de supprimer le driver. Ceci ferme aux attaquants l'accès à un bon nombre de vulnérabilités existant dans ce protocole obsolète. Dans ce cas, les ressources partagées resteront disponibles : tous les clients lorsque ils accèdent à des dossiers partagés ont de nouvelles versions du protocole SMB.

Il existe beaucoup de moyens de désactiver le protocole obsolète (https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server, http://winitpro.ru/index.php/2017/05/10/otklyuchenie-smb-1-0-v-windows-10-server-2016/). Envisageons la variante la plus simple :

  1. Ouvrez le menu Exécuter en utilisant la combinaison de touches Win + R ou le bouton Démarrer.
  2. Entrez la commande « cmd », cliquez sur OK.
  3. Dans la ligne de commandes qui s’ouvre, entrez la commande dism/online/norestart/disable-feature/featurename:SMB1Protocol

Attention ! La commande Dism est présente dans Windows 7 service pack 1 et supérieurs. Pour les systèmes antérieurs, afin de fermer l’accès au protocole, vous devez modifier le registre.

Citons la liste des services pouvant être désactivés avec la même commande :

Dism /Online /Disable-Feature /FeatureName:FaxServicesClientPackage /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:Internet-Explorer-Optional-amd64
Dism /Online /Disable-Feature /FeatureName:MicrosoftWindowsPowerShellV2 /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:MicrosoftWindowsPowerShellV2Root /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:MSRDC-Infrastructure /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:Printing-Foundation-Features /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:Printing-Foundation-InternetPrinting-Client /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:Printing-PrintToPDFServices-Features /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:Printing-XPSServices-Features /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:SearchEngine-Client-Package /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:WCF-TCP-PortSharing45 /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:MediaPlayback /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:WorkFolders-Client /Quiet /NoRestart
Dism /Online /Disable-Feature /FeatureName:Xps-Foundation-Xps-Viewer /Quiet /NoRestart

https://malwaretips.com/threads/how-to-disable-smbv1-in-windows-10-and-windows-server.71475/

« J’ai peur que tout tombe en panne et qu'aucun jeu ne démarre plus. Je ne le ferai donc pas. »

La désactivation d’un protocole obsolète ne devrait pas nuire à ceux qui n'utilisent pas à la maison des vieux systèmes d'entreprise.

Mais : si quelqu'un a installé des mises à jour et après avoir supprimé le protocole obsolète a décidé qu'il est en sécurité, ce n'est pas le cas.

La vulnérabilité critique (CVE-2017-7494) qui est désormais connue permet d'exécuter un code sur le serveur à condition qu'il y ait un accès en écriture au stockage fourni par le serveur. Cette vulnérabilité permet au client de charger la bibliothèque partagée sur le stockage SMB et de lancer son téléchargement par le serveur. Le problème est causé par un bogue dans la réalisation d'IPC (inter-process communication) pour les canaux nommés des clients de Windows NT.

http://www.opennet.ru/opennews/art.shtml?num=46591

Autrement dit : si vous avez une ressource partagée accessible en écriture, un attaquant est en mesure d'exécuter un code sur l'ordinateur où se trouve le dossier partagé. Et si WannaCry utilisait une vulnérabilité qui était présente uniquement sous Windows, et que les utilisateurs sous Linux et macOS n'étaient pas touchés, la nouvelle vulnérabilité (suscitée) menace également Linux, au minimum.

Ainsi, l’histoire des vulnérabilités continue.

Le projet Lumières sur la sécurité recommande

Des vulnérabilités ont existé, existent et continueront à exister. De plus, on constate souvent que ces "trous de sécurité" sont parfois longtemps utilisés et qu’avant la publication de patchs, il n'existe pas de moyen de protection. Les scanners de sécurité et les systèmes de mises à jour vont vous assurer que tout est sous contrôle. Mais seul l'antivirus est en mesure de vous protéger contre la pénétration d’un malware, lui seul va réagir à l'apparition de nouveaux fichiers dans le système. Quelle que soit leur voie de pénétration.

L’essentiel est de garder l'antivirus activé !

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs