22

Retour d’expérience sur le ver Conficker8 février 2010Jean GautierSecurity Support EngineerMicrosoft France

33

Confickeritis

44

Partout en Europe

http://www.team-cymru.org/Monitoring/Malevolence/conficker.html

55

66

Dates clés

23 Octobre 2008, MS08-067 est publié hors cycle21 Novembre 2008, Microsoft identifie Conficker.A29 Decembre 2008, Conficker.B, plus virulent, est

identifié19 Janvier 2009, le MSRT nettoie Conficker20 Février 2009, Conficker.C4 Mars 2009, Conficker.D8 Avril 2009, Conficker.E

Plus d’informations sur: http://www.microsoft.com/conficker

77

Des impacts techniques variés

Verrouillages de comptesSaturation des DCs et du réseauPerte d’accès à des ressources critiquesDénis de serviceDestruction de configurations

88

Des impacts directs sur l‘activité

Hôpitaux déplaçant des patientsEmployés renvoyés à la maisonFiliales coupées du site centralDommages d’image publique et perte de confianceMobilisations des équipes pendants plusieurs semainesTemps moyen d’éradication complète:

3 mois!

Un coût de Conficker énorme et des dommages sur le long terme

99M I C R O S O F T S E C U R I T Y S E R V I C E S

La réponse de Microsoft

SasserAvril 2004

BlasterAout 2003

ZotobAugust 2005

24h 2h -48h10j 2j <

24h

MS08-067October 2008

(Conficker)

MAPP

11j 4j 2j -11jAucun Aucun XPSP2 XPSP2&3,

Vista, Server 2008

Guides en ligne/ Webcast

Alerte et Conseils

Produits non affectés

Mises à jour disponible

< 24h

1010

Microsoft, The Conficker Cabal

1111

Propagation de Conficker?

1212

Et l’utilisateur à la maison?

Peu impacté car:Par défaut le pare-feu de XPSP2 est activéPar défaut, sur XP SP2, Microsoft Update est activéPeu de comptes synchronisés/pas d’Active DirectoryWindows Vista/7 non impactés!

Windows XP SP2, SP3, Windows Vista, dans leur configuration par défaut ne sont pas impactées par Conficker!

1313

Et l’entreprise?

Configurations affaiblies par:Pare-feu désactivéMises à jour non déployéesMots de passe faibles

Mauvaise gestion des comptes avec pouvoir

Versions modernes de Windows peu déployées

1414

Leçons durement apprises

99,999% se sont produites après la publication de MS08-067 Mieux vaut prévenir que courir!

Conception erronée que l’installation d’une mise à jour bloque tous les vecteurs d’attaque!

Souvent exposé par Conficker:Absence de contrôle opérationel:

Pas de Plan de continuitéPas d’inventairePas de gestion de risque

1515

Absence de gestion de parc

Pas de gestion centralisée d’alertesMises à jour non déployées sur la totalité du « parc »Anti-Virus obsolète (si présent…), signatures non mises à jourConfigurations obsolètes, machines hors des cycles d’upgradeDifficultés d’application du plan de remédiation

Si vous voulez vous protéger, connaissez ce que vous avez.

1616

Patch Management = Sécurité ?

Non, mais:

La seule protection qui adresse le problème à sa source

Il bloque immédiatement tous les codes malveillants, présents et futurs, qui exploitent la/les vulnérabilités corrigées.

1717

Droits d’administration

Est-ce que tout ça a vraiment besoin des privilèges d’administration du domaine?

1818

Droits d’administration

Appliquez le principe du privilège minimum:Ne vous logguez plus jamais Admin du Domaine.Utilisez RunAs pour lancer cmd.exe

Puis utilisez MMC.exe Customisez vos .msc en fonction des tâches courantesUtilisez regedit à distance!

Attention aux images déployées sans modifier le mot de passe des comptes d’administration locaux

N’utilisez pas ces comptes pour vous logguer sur les machines.

1919

Prévention – Countre-mesures

Installer MS08-067 PARTOUTAnti-Virus récent et à jourImplémentation d’une politique de mot de passe fortsDésactiver l’Autorun par GPOKB 962007Ne pas se logguer avec un compte à pouvoirs sur des machines

potentiellement infectées (càd toutes)Lutter contre l’idée fausse qu’nstaller MS08-067 vous protège

contre toutes les variantes de Conficker

2020