Renforcer la sécurité face à WannaCrypt (sur Windows et Routeurs Fortinet)
Bonjour à tous,
Voici une petite note concernant le ransomware WanaCry qui s’est développé ce week-end.
Contexte :
La propagation de ce ransomware s’appuie sur l’exploitation de la faille Windows MS17-010 publiée en mars 2017 par Microsoft : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
La référence CVE de cette vulnérabilité Microsoft est : CVE-2017-0144
Plateformes Windows impactées par cette vulnérabilité :
-Windows Vista
-Windows Server 2008 & 2008R2
-Windows 7
-Windows 8.1
-Windows 2012 & 2012R2
-Windows RT 8.1
-Windows 10
-Windows Server 2016
-Windows XP
-Windows 2003
-Windows 8
Quelques conseils :
-Appliquer le correctif sur les plateformes Windows concernées: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
-Désactiver l’exécution des fichiers avec les extensions WNCRY.
-Isoler les ports réseaux UDP 137 / 138 et TCP 139 / 445.
Concernant les Fortinet :
En mars 2017, suite à la publication des vulnérabilités Windows, Fortinet avait mis à disposition une signature permettant d’identifier et de bloquer cette attaque : https://fortiguard.com/encyclopedia/ips/43796
Cette signature IPS est disponible depuis la version « 10.104 » de la base de signatures IPS. L’action par défaut associée à cette vulnérabilité est « block ».
Dans les profils anti-virus, la détection des connexions aux serveurs de Botnet permet également de bloquer ce type d'attaque.
Ci-dessous une capture de la config mise en place sur notre Fortinet :
Si vous êtes avec ce genre d'équipements, j'espère que ça pourra vous servir ou vous, administrateur réseau de votre société !
Voici une petite note concernant le ransomware WanaCry qui s’est développé ce week-end.
Contexte :
La propagation de ce ransomware s’appuie sur l’exploitation de la faille Windows MS17-010 publiée en mars 2017 par Microsoft : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
La référence CVE de cette vulnérabilité Microsoft est : CVE-2017-0144
Plateformes Windows impactées par cette vulnérabilité :
-Windows Vista
-Windows Server 2008 & 2008R2
-Windows 7
-Windows 8.1
-Windows 2012 & 2012R2
-Windows RT 8.1
-Windows 10
-Windows Server 2016
-Windows XP
-Windows 2003
-Windows 8
Quelques conseils :
-Appliquer le correctif sur les plateformes Windows concernées: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
-Désactiver l’exécution des fichiers avec les extensions WNCRY.
-Isoler les ports réseaux UDP 137 / 138 et TCP 139 / 445.
Concernant les Fortinet :
En mars 2017, suite à la publication des vulnérabilités Windows, Fortinet avait mis à disposition une signature permettant d’identifier et de bloquer cette attaque : https://fortiguard.com/encyclopedia/ips/43796
Cette signature IPS est disponible depuis la version « 10.104 » de la base de signatures IPS. L’action par défaut associée à cette vulnérabilité est « block ».
Dans les profils anti-virus, la détection des connexions aux serveurs de Botnet permet également de bloquer ce type d'attaque.
Ci-dessous une capture de la config mise en place sur notre Fortinet :
Si vous êtes avec ce genre d'équipements, j'espère que ça pourra vous servir ou vous, administrateur réseau de votre société !