WannaCry Ransomware – Restez à jour grâce à WSUS et l'automatisation

Les attaques par le ransomware WannaCry de cette semaine ont, encore une fois, rendu douloureusement évident l’importance des mises à jour logicielles pour les entreprises. La réponse la plus évidente est : « RESTEZ À JOUR ». Cependant, les choses ne sont pas si simples. WSUS peut vous aider, mais l’automatisation de WSUS peut vous aider encore plus. Je vais expliquer ce qu’est WSUS est, et comment l’automatiser peut vous aider. Mais intéressons-nous tout d’abord à ce qui vient de se passer dans le monde entier et quelles en sont les raisons…

L’attaque a débuté la semaine dernière et s’est répandue comme un ver informatique. Le virus s’installait sur une machine Windows après qu’un utilisateur ait été piégé après qu’on lui ait demandé de cliquer sur une pièce jointe ou de visiter un lien. À ce moment précis, il prend le contrôle de l’ordinateur, crypte les fichiers, verrouille l’utilisateur, demande une rançon d’environ 500 dollars en paiement bitcoin, puis se propage sur d’autres ordinateurs du réseau. En tout et pour tout, il a détenu des informations et demandé une rançon à près de 300 000 ordinateurs dans plus de 150 pays. Parmi ses victimes, on compte de grands noms tels que le service national de la santé de la Grande-Bretagne, Nissan Motors, FedEx, China National Petroleum, Renault SA, Deutsche Bahn et Hitachi.

The WannaCry screen

Tout ceci aurait pu être évité par une simple mise à jour du système. Oui, c’est cette petite notification qui surgit en bas à droite de votre écran. Elle le fait peut-être même maintenant. Cliquer dessus et attendre quelques minutes auraient pu sauver la plupart des ordinateurs. La plupart, mais pas tous. Le point faible exploité a été trouvé dans Windows, et a été corrigé en mars, mais uniquement pour les systèmes d’exploitation actuellement supportés. Les versions plus anciennes, telles que XP et Server 2003, étaient toujours vulnérables. Cependant, dans une mise à jour de sécurité surprise parue vendredi, Microsoft a publié des mises à jour pour beaucoup de ces itérations anciennes.

Ainsi, en tant qu’organisation, que peut-on faire à l’avenir pour éviter ces types d’attaques ?

Cela va arriver à nouveau, c’est inévitable. Mais il y a certaines choses que nous pouvons faire. Tout d’abord, il est extrêmement important d’éduquer les utilisateurs. Oui, il y a toujours des utilisateurs avec des systèmes sous XP ou un autre système non supporté qui sont des proies faciles, mais éduquer les employés et leur apprendre comment reconnaître des attaques d’ingénierie sociale peuvent protéger les entreprises qui utilisent toutes sortes de systèmes, même les plus vulnérables. Enseigner des concepts tels que l’hameçonnage par téléphone, les faux-semblants, les croque-escrocs, le whaling, l’hameçonnage, etc., les aideront à prendre des décisions plus intelligentes lorsqu’ils se retrouveront devant des pièces jointes, des demandes inhabituelles ou des liens douteux.

La prochaine solution évidente est celle que j’ai mentionnée au début de cet article. Que j’ai sobrement intitulé : « restez à jour ». Pour le grand public, cela peut sembler très simple. Mais les spécialistes de l’informatique savent que les choses ne sont pas aussi faciles. Parfois, certaines mises à jour ne sont pas compatibles avec les applications exécutées sur les machines. D’autres fois, les machines sont en train de traiter des tâches importantes, ou peut-être que la machine ne peut être utilisée que dans certains cas, et aller en ligne pour la mettre à jour nécessite d’un peu de temps libre… un temps libre que beaucoup d’entre nous n’ont pas. Peu importe la raison, Windows propose un outil qui sera très utile pour les nombreuses années à venir : WSUS.

WSUS, qui s’appelaient autrefois « Software Update Services », signifie aujourd’hui « Windows Server Update Services ». Au cours de ces dernières années, il a évolué en un outil très puissant dans l’arsenal des administrateurs. WSUS donne aux équipes d’administration d’une organisation le pouvoir de forcer les correctifs et les mises à jour sur toutes les machines Windows, selon le cas. WSUS permet aux administrateurs de planifier des mises à jour à certaines dates/heures, comme pendant les temps de pause ou une fois que la journée est terminée. Ce service leur permet également de sélectionner les mises à jour qu’ils souhaitent forcer, à l’exception au besoin de certaines mises à jour s’il existe des problèmes de capacité connus. Dans l’ensemble, WSUS donne aux administrateurs la possibilité de voir toutes les mises à jour disponibles sur une machine donnée sur le réseau, et de choisir les machines qui recevront telle mise à jour et à tel moment. Pour terminer, il suivra chaque machine à travers le processus de mise à jour, en enregistrant tous les problèmes qui pourraient survenir.

Il a beaucoup de pouvoir. Il s’agit là du principal outil que les administrateurs Windows utiliseront pour garder les machines à jour et pour les protéger contre ces types d’attaques. Mais il peut devenir encore PLUS puissant si vous envisagez d’inclure WSUS dans l’automatisation de vos cycles de travail. Il est possible d’associer un bon produit d’automatisation avec WSUS, afin qu’il puisse suivre les mises à jour, récupérer les journaux, reconnaître les codes d’erreur et déclencher divers processus selon de multiples résultats. Laissez-moi vous donner quelques exemples. Avec un WSUS automatisé, vous pouvez programmer vos mises à jour et passer à la tâche suivante. Vous n’aurez pas à surveiller si WSUS affiche des messages d’erreur ou de confirmation, car l’outil permettant l’automatisation devrait être capable de vous notifier quand les choses tourneront mal, ou même lorsque tout se déroulera comme prévu. Qu’en est-il de la mise à jour d’une machine ou d’une machine virtuelle qui n’est pas constamment mise à niveau ? Si WSUS fait partie du tissu d’automatisation d’une entreprise, vous pouvez facilement configurer un flux de travail rapide pour vérifier l’état de la machine et même la faire apparaître si votre système est en panne. Ensuite, vous pourrez lancer le processus de WSUS pour la mettre à jour. Une fois que ceci sera fait, votre solution d’automatisation pourra redémarrer la machine sans que vous n’ayez à faire plus d’un clic. Enfin, parlons des machines en cours de traitement. Connectez WSUS à votre outil d’automatisation et vérifiez chaque serveur pour voir s’il y a des processus critiques en cours avant de permettre une mise à jour. De simples boucles temporelles telles que « réessayer dans 30 minutes » pourront apparaître, si votre solution d’automatisation réalise qu’un traitement est en cours. Placez un compteur avec une notification, au cas où il voudrait ne jamais arrêter le traitement. C’est un moyen simple pour éviter toute interruption accidentelle dans une entreprise. Cela éliminera également le besoin de surveiller manuellement les processus de la machine avant toute mise à jour.

Ces types d’attaques sont effrayantes, cela ne fait aucun doute. Cependant, ce n’est pas l’argent que demandent les pirates qui effraie les grandes organisations, c’est la perte de continuité dans l’activité et de données qui sont inestimables. Par chance, nous pouvons lutter contre ces problèmes. Apprendre les techniques d’ingénierie sociale et rester à jour sont les deux facteurs primordiaux qui réduiront les risques dans n’importe quelle organisation. Des outils tels que WSUS et les solutions pour automatiser les cycles de travail rendent les choses bien plus faciles pour nous, les administrateurs, et bien plus compliquées pour les pirates.

About the Author
blank

Parag Gadgil

Je suis ingénieur logiciel chez SMA Solutions pour la plate-forme Windows. Nous avons une solution, OpCon, qui peut amener Windows, Windows Server, Orchestrator, Dynamics AX, WSUS et bien d'autres éléments dans le tissu d'automatisation de votre organisation. Si vous voulez en savoir plus, envoyez-moi un message ou appelez-nous.

Sources:
http://www.sandiegouniontribune.com/opinion/the-conversation/sd-5-facts-global-ransomware-cyberattack-wannacry-20170515-htmlstory.html
http://time.com/4779750/wannacry-ransomware-patch-windows-cybersecurity/
https://technet.microsoft.com/en-us/windows