Upload
zev
View
41
Download
0
Embed Size (px)
DESCRIPTION
Retour d’expérience sur le ver Conficker. 8 février 2010 Jean Gautier Security Support Engineer Microsoft France. Confickeritis. Partout en Europe . http://www.team-cymru.org/Monitoring/Malevolence/conficker.html. Dates clés. 23 Octobre 2008, MS08-067 est publié hors cycle - PowerPoint PPT Presentation
Citation preview
22
Retour d’expérience sur le ver Conficker8 février 2010Jean GautierSecurity Support EngineerMicrosoft France
33
Confickeritis
44
Partout en Europe
http://www.team-cymru.org/Monitoring/Malevolence/conficker.html
55
66
Dates clés
23 Octobre 2008, MS08-067 est publié hors cycle21 Novembre 2008, Microsoft identifie Conficker.A29 Decembre 2008, Conficker.B, plus virulent, est
identifié19 Janvier 2009, le MSRT nettoie Conficker20 Février 2009, Conficker.C4 Mars 2009, Conficker.D8 Avril 2009, Conficker.E
Plus d’informations sur: http://www.microsoft.com/conficker
77
Des impacts techniques variés
Verrouillages de comptesSaturation des DCs et du réseauPerte d’accès à des ressources critiquesDénis de serviceDestruction de configurations
88
Des impacts directs sur l‘activité
Hôpitaux déplaçant des patientsEmployés renvoyés à la maisonFiliales coupées du site centralDommages d’image publique et perte de confianceMobilisations des équipes pendants plusieurs semainesTemps moyen d’éradication complète:
3 mois!
Un coût de Conficker énorme et des dommages sur le long terme
99M I C R O S O F T S E C U R I T Y S E R V I C E S
La réponse de Microsoft
SasserAvril 2004
BlasterAout 2003
ZotobAugust 2005
24h 2h -48h10j 2j <
24h
MS08-067October 2008
(Conficker)
MAPP
11j 4j 2j -11jAucun Aucun XPSP2 XPSP2&3,
Vista, Server 2008
Guides en ligne/ Webcast
Alerte et Conseils
Produits non affectés
Mises à jour disponible
< 24h
1010
Microsoft, The Conficker Cabal
1111
Propagation de Conficker?
1212
Et l’utilisateur à la maison?
Peu impacté car:Par défaut le pare-feu de XPSP2 est activéPar défaut, sur XP SP2, Microsoft Update est activéPeu de comptes synchronisés/pas d’Active DirectoryWindows Vista/7 non impactés!
Windows XP SP2, SP3, Windows Vista, dans leur configuration par défaut ne sont pas impactées par Conficker!
1313
Et l’entreprise?
Configurations affaiblies par:Pare-feu désactivéMises à jour non déployéesMots de passe faibles
Mauvaise gestion des comptes avec pouvoir
Versions modernes de Windows peu déployées
1414
Leçons durement apprises
99,999% se sont produites après la publication de MS08-067 Mieux vaut prévenir que courir!
Conception erronée que l’installation d’une mise à jour bloque tous les vecteurs d’attaque!
Souvent exposé par Conficker:Absence de contrôle opérationel:
Pas de Plan de continuitéPas d’inventairePas de gestion de risque
1515
Absence de gestion de parc
Pas de gestion centralisée d’alertesMises à jour non déployées sur la totalité du « parc »Anti-Virus obsolète (si présent…), signatures non mises à jourConfigurations obsolètes, machines hors des cycles d’upgradeDifficultés d’application du plan de remédiation
Si vous voulez vous protéger, connaissez ce que vous avez.
1616
Patch Management = Sécurité ?
Non, mais:
La seule protection qui adresse le problème à sa source
Il bloque immédiatement tous les codes malveillants, présents et futurs, qui exploitent la/les vulnérabilités corrigées.
1717
Droits d’administration
Est-ce que tout ça a vraiment besoin des privilèges d’administration du domaine?
1818
Droits d’administration
Appliquez le principe du privilège minimum:Ne vous logguez plus jamais Admin du Domaine.Utilisez RunAs pour lancer cmd.exe
Puis utilisez MMC.exe Customisez vos .msc en fonction des tâches courantesUtilisez regedit à distance!
Attention aux images déployées sans modifier le mot de passe des comptes d’administration locaux
N’utilisez pas ces comptes pour vous logguer sur les machines.
1919
Prévention – Countre-mesures
Installer MS08-067 PARTOUTAnti-Virus récent et à jourImplémentation d’une politique de mot de passe fortsDésactiver l’Autorun par GPOKB 962007Ne pas se logguer avec un compte à pouvoirs sur des machines
potentiellement infectées (càd toutes)Lutter contre l’idée fausse qu’nstaller MS08-067 vous protège
contre toutes les variantes de Conficker
2020