EureNet.com - Integration de vos projets Sécurité = Informatique & Internet


vendredi 19 mai 2017

Comment mettre à jour #Windows correctement afin de protéger votre ordinateur de #WannaCry ?

Désormais, tout le monde a entendu parler de l’attaque du ransomware WannaCry. Jusqu’à présent nous avions publié deux articles à son sujet : un aperçu général sur ce qui s’est passé, et un autre avec des conseils pour les entreprises. Mais il est évident que tout le monde n’a pas compris de quelle façon corriger une vulnérabilité Windows exploitée par WannaCry, qui lui permet de voyager d’un ordinateur à un autre. Ici, nous vous expliquerons quoi faire et où trouver les patchs nécessaires. .../...

jeudi 18 mai 2017

#Kaspersky > #WannaCry: Comment s’en protéger et détecter la faille avec KSC10

mercredi 17 mai 2017

#WannaCry #ransomware > une attaque informatique de portée mondiale crée la panique (WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r)

Des hôpitaux britanniques et des entreprises espagnoles ont été touchés par des virus, vendredi. Ils bloquent l’accès aux fichiers d’un ordinateur afin d’obtenir une rançon.

Les autorités américaines ont mis en garde vendredi 12 mai contre une vague de cyberattaques simultanées qui a touché des dizaines de pays dans le monde, recommandant de ne pas payer de rançon aux pirates informatiques. Ceux-ci ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.

.../...


Information on the WannaCry malware and ways to fight it


WannaCry ransomware used in widespread attacks all over the world

Earlier today, our products detected and successfully blocked a large number of ransomware attacks around the world. In these attacks, data is encrypted with the extension “.WCRY” added to the filenames.

Our analysis indicates the attack, dubbed “WannaCry”, is initiated through an SMBv2 remote code execution in Microsoft Windows. This exploit (codenamed “EternalBlue”) has been made available on the internet through the Shadowbrokers dump on April 14th, 2017 and patched by Microsoft on March 14.

Unfortunately, it appears that many organizations have not yet installed the patch.

.../...


CERT-FR : Propagation d'un rançongiciel exploitant les vulnérabilités MS17-010


US CERT : Alert (TA17-132A) / Indicators Associated With WannaCry Ransomware


WANNACRY RANSOMWARE: RECENT CYBER-ATTACK


Customer Guidance for WannaCrypt attacks

MS17-010 : Description de la mise à jour de sécurité pour le serveur Windows SMB datée du 14 mars 2017

Catalogue Microsoft®Update #KB4012598


Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows (XP, Vista, 8,...)


Nissan confirm Sunderland car plant brought to a halt by cyber attack which swept NHS; Hospitals and businesses across the world have been affected by the attack which began on Friday, including Sunderland-based car plant


MAJ : 13h30

Cyberattaque : Renault stoppe la production de plusieurs usines


MAJ : 16h30

Vague mondiale de cyberattaques : comment éviter que votre ordinateur soit infecté


MAJ : 18h00

Microsoft réagit face à la cyberattaque qui vise ses logiciels

L'éditeur a réactivé une mise à jour pour aider les utilisateurs de certaines versions de son système d'exploitation Windows à faire face à l'attaque informatique massive utilisant un logiciel de rançon appelé "Wannacry".


MAJ : 19h15

L'ANSSI redoute un regain de blocages de données lundi (par Emmanuel Jarry)

PARIS (Reuters) - L'Agence nationale de la sécurité des systèmes d'information (Anssi) redoute une nouvelle vague de blocages de données en France en début de semaine, par les logiciels malveillants à l'origine d'une gigantesque cyberattaque mondiale vendredi.

Selon son directeur général, Guillaume Poupard, cette attaque a pour origine des vulnérabilités informatiques connues jusqu'à récemment de la seule Agence nationale de sécurité américaine (NSA) mais qu'un groupe de hackers a mis dans le domaine public pour le plus grand profit de cybercriminels .../...

les consignes de l'Anssi privilégient la prévention : mise à jour des logiciels, sauvegardes des données séparées des réseaux, vigilance accrue vis-à-vis des mails, des pièces jointes et des liens vers des sites web, déconnexion des ordinateurs infectés, réinstallation de logiciels propres ..../...


MAJ : ALERTE CAMPAGNE DE RANÇONGICIEL – MISE À JOUR 14/05/2017

Le CERT-FR constate l'apparition d'un nouveau rançongiciel, "WannaCrypt", qui exploite les vulnérabilités MS17-010 pour se propager. Il provoque le chiffrement de tous les fichiers d’un ordinateur ou d'un réseau. Des moyens existent pour y remédier.

.../...

Pour plus d’informations, vous pouvez consulter :


MAJ : 15/05/17

Alert (TA17-132A) Indicators Associated With WannaCry Ransomware

Initial reports indicate the hacker or hacking group behind the WannaCry campaign is gaining access to enterprise servers either through Remote Desktop Protocol (RDP) compromise or through the exploitation of a critical Windows SMB vulnerability. Microsoft released a security update for the MS17-010 (link is external) vulnerability on March 14, 2017. Additionally, Microsoft released patches for Windows XP, Windows 8, and Windows Server 2003 (link is external) operating systems on May 13, 2017. According to open sources, one possible infection vector is via phishing emails. .../...

Yara Signatures .../...

Solution

Recommended Steps for Prevention

  • Apply the Microsoft patch for the MS17-010 SMB vulnerability dated March 14, 2017.
  • Enable strong spam filters to prevent phishing e-mails from reaching the end users and authenticate in-bound e-mail using technologies like Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC), and DomainKeys Identified Mail (DKIM) to prevent e-mail spoofing.
  • Scan all incoming and outgoing e-mails to detect threats and filter executable files from reaching the end users.
  • Ensure anti-virus and anti-malware solutions are set to automatically conduct regular scans.
  • Manage the use of privileged accounts. Implement the principle of least privilege. No users should be assigned administrative access unless absolutely needed. Those with a need for administrator accounts should only use them when necessary.
  • Configure access controls including file, directory, and network share permissions with least privilege in mind. If a user only needs to read specific files, they should not have write access to those files, directories, or shares.
  • Disable macro scripts from Microsoft Office files transmitted via e-mail. Consider using Office Viewer software to open Microsoft Office files transmitted via e-mail instead of full Office suite applications.
  • Develop, institute and practice employee education programs for identifying scams, malicious links, and attempted social engineering.
  • Have regular penetration tests run against the network. No less than once a year. Ideally, as often as possible/practical.
  • Test your backups to ensure they work correctly upon use.

Recommended Steps for Remediation

  • Contact law enforcement. We strongly encourage you to contact a local FBI field office upon discovery to report an intrusion and request assistance. Maintain and provide relevant logs.
  • Implement your security incident response and business continuity plan. Ideally, organizations should ensure they have appropriate backups so their response is simply to restore the data from a known clean backup.

Defending Against Ransomware Generally Precautionary measures to mitigate ransomware threats include:

  • Ensure anti-virus software is up-to-date.
  • Implement a data back-up and recovery plan to maintain copies of sensitive or proprietary data in a separate and secure location. Backup copies of sensitive data should not be readily accessible from local networks.
  • Scrutinize links contained in e-mails, and do not open attachments included in unsolicited e-mails.
  • Only download software – especially free software – from sites you know and trust.
  • Enable automated patches for your operating system and Web browser.

.../...


MAJ 18h08

@PoliceNationale > WannaCry > Rançongiciels > ransomware Payer la rançon ne garantit pas la récupération des données!

Protégez-vs avant qu'il ne soit trop tard


MAJ : 17/05/17

Attaque mondiale–WannaCry: Comment s’en protéger et détecter la faille

Pourquoi cette attaque est-elle sans précédent?

En fait c’est une attaque classique de Ransomware que nous subissons déjà depuis quelques années via l’envoi massif d’emails ce qui touche l’ensemble des utilisateurs et des entreprises de la planète. Rien de neuf sur l’objectif.

2 problèmes majeures s’ajoutent ici :

L’exploitation d’une faille Microsoft qui permet d’exécuter le ransomware sur les machines vulnérables à distance. Plus besoin qu’un utilisateur ouvre le fichier pour infecter la machine. Propagation automatisée avec montée en mémoire directe. Même principe que les anciens vers de réseau de type Kido (conficker) par exemple, rien de neuf non plus. https://support.kaspersky.com/fr/1956 Les anciens OS Microsoft Windows XP et Windows 2003 sont touchés. C’est la raison pour laquelle nous avons vu le ransomware sur des tableaux d’affichage ou sur les écrans d’usines de production. Ces équipements n’ont pas été renouvelés et n’utilisent pas de produit de sécurité capable de bloquer ce type d’attaque, ceci souvent pour des raisons de coûts. L’évaluation des risques n’a pas été réalisée de façon méthodique. Pourtant l’utilisation de produits spécifiques comme Kaspersky Embedded Systems Security ou Kaspersky Industrial CyberSecurity for Nodes sont efficaces même pour ce type de systèmes. .../...


mardi 16 mai 2017

Alerte aux #rancongiciels ( #Ransomware ) Vos données en otage, contre de l’argent !

Vous êtes de plus en plus nombreux à recevoir des messages douteux avec des pièces jointes et/ou des liens qui sont piégés, NE CLIQUEZ PAS DESSUS !

Un virus pourrait chiffrer vos données et exiger une rançon. La payer ne garantit pas la récupération de l’intégralité de vos données.

Il est constaté de plus en plus d’escroqueries par des emails qui contiennent des pièces jointes et/ou des liens piégés. Ces messages frauduleux sont maintenant plus difficiles à détecter par les utilisateurs car ils sont bien souvent de parfaites copies, avec de vrais logos et sans fautes d’orthographes.

.../...

L’ANSSI est l'autorité nationale en matière de sécurité et de défense des systèmes d’information. Prévention, protection, réaction, formation et labellisation de solutions et de services pour la sécurité numérique de la Nation.

lundi 15 mai 2017

Communiqué #Kaspersky Lab sur l'attaque #WannaCry du 12 mai 2017

Le 12 mai, une attaque ransomware a été déclenchée, impactant de nombreuses organisations à travers le monde. Les chercheurs de Kaspersky Lab ont analysé les données et peuvent confirmer que les systèmes de protection pour les entreprises ont détecté au moins 45 000 tentatives d'infection dans 74 pays, la plupart en Russie.

L’attaque exploite une vulnérabilité réseau connue et décrite dans le bulletin de sécurité Microsoft MS17-010. L'exploit utilisé, "Eternal Blue" a été révélé par le groupe Shadowbrokers le 14 avril. Une fois dans le système, les attaquants installent un rootkit qui leur permet de télécharger le logiciel pour chiffrer les données. Le logiciel malveillant chiffre les fichiers. Une demande de 600 $ en Bitcoin s'affiche et la somme augmente avec le temps.

Les experts Kaspersky Lab tentent actuellement de déterminer s'il est possible de déchiffrer des données. Les solutions de sécurité de Kaspersky Lab détectent les logiciels malveillants utilisés dans cette attaque par les noms de détection suivants :

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (le module System Watcher doit être activé)

Nous vous recommandons de prendre les mesures suivantes pour réduire le risque d'infection et propagation :

  • Installez le correctif officiel de Microsoft qui ferme la vulnérabilité utilisée dans l'attaque
  • Assurez-vous que les solutions de sécurité sont activées sur tous les noeuds du réseau
  • Si la solution de Kaspersky Lab est utilisée, assurez-vous qu'elle comprend le System Watcher (un module de détection proactif) et que celui-ci est activé
  • Exécutez la tâche « Analyse rapide » (Mémoire système, Objets de démarrage automatique, Secteurs d’amorçage) dans la solution Kaspersky Lab pour détecter une éventuelle infection au plus tôt (sinon, elle sera détectée automatiquement si elle n'est pas désactivée dans les 24 heures).
  • Redémarrez le système après avoir détecté MEM:Trojan.Win64.EquationDrug.gen
  • Utilisez les services personnalisés de rapports et de renseignements sur les menaces

Une description détaillée des méthodes utilisées par WannaCry et Indicators of Compromise se trouve dans le blog Securelist.

Vous trouverez aussi sur notre base de connaissance un article rassemblant toutes les informations sur cette attaque.


Cyberattaque WannaCry : Êtes-vous en sécurité ?

Utilisez un anti-virus fiable. Kaspersky Internet Security peut détecter WannaCry à la fois localement et pendant les tentatives de diffusion sur un réseau. De plus, System Watcher, un module intégré, a pour fonction de bloquer les modifications indésirables, ce qui signifie qu’il empêchera le cryptage des fichiers, même pour les versions malveillantes qui ne sont pas encore dans les bases de données antivirus. .../...


WannaCry: Comment s’en protéger et détecter la faille

Information on the WannaCry malware and ways to fight it

Information about the WannaCry malware

Kaspersky Lab engineers have analyzed the information on the cases of infection with the file-encrypting malware known as WannaCry, which attacked a number of companies around the world on May, 12. For the attack, the known network vulnerability Microsoft Security Bulletin MS17-010 was used. Then, the rootkit was installed on the infected computers, through which the file-encrypting malware was run.

All Kaspersky Lab solutions now detect this rootkit as MEM:Trojan.Win64.EquationDrug.gen. Kaspersky Lab solutions also detect the encryption malware which was used during this attack under the following names:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • PDM:Trojan.Win32.Generic (System Watcher must be enabled for detection of this malware)

We recommend that the companies perform the following actions to minimize the risk of infection:

  • Install the official Microsoft patch, which fixes the vulnerability exploited by this malware.
  • Make sure antivirus solutions are enabled on all nodes in the network.
  • Update databases of all Kaspersky Lab solutions used.

Kaspersky Lab experts are currently analyzing the malware samples to find decryption options. For detailed information about the WannaCry attacks, please refer to the Kaspersky Lab report at https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/


What to do in case of infection?

How to prevent the infection?

Centralized distribution of the Microsoft update through Kaspersky Security Center

How to use the computers safely without installing the Microsoft update

vendredi 12 mai 2017

Cycle de vie des produits #Kaspersky Entreprise ( Avril 2017 )

Cycle de vie des produits

  1. Kaspersky Endpoint Security 10.2.2.10535mr1 sera en support limité* à partir du 1er Juin 2017
  2. Kaspersky Security for Exchange 9.3.54.0 sera en support limité* à partir du 17 Mai 2017
  3. Kaspersky Security for Virtualization Agent Less 3.0.0.92 ne sera plus supporté à partir du 24 Mai 2017
  4. Kaspersky Security for Virtualization Light Agent 3.2.99.5024 ne sera plus supporté à partir du 16 Aout 2017
  5. Kaspersky Anti-Virus for Linux File Servers 8.0.3.297 sera en support limité* à partir du 1 Juillet 2017
  • Support limité (*) : Fin de correction des bugs

Pour plus d'informations sur le cycle de vie des produits, Cliquez ici.

T. De Coatpont, #Kaspersky Lab : « les menaces qui ciblent les environnements industriels sont en train de monter en puissance »

T. De Coatpont, Kaspersky Lab : « les menaces qui ciblent les environnements industriels sont en train de monter en puissance » from GlobbTV on Vimeo.

mercredi 26 avril 2017

#Kaspersky > #KSC10 SP2 MR1 & #KES10SP2 disponibles !

Kaspersky Security Center 10 Service Pack 2 Maintenance Release 1 et Kaspersky Endpoint Security 10 for Windows SP2 sont sortis le 4 avril 2017. Les numéros de versions sont les suivants :

  • Kaspersky Security Center : 10.4.343
  • Kaspersky Security Center Web Console : 10.4.56
  • Kaspersky Endpoint Security : 10.3.0.6294

Vous pouvez télécharger le package complet ici :

Il comprend bien évidemment le Endpoint 10 en SP2. Cependant si vous souhaitez télécharger celui-ci séparément ou consulter les prérequis techniques, rendez-vous à cette adresse :


150%

C’est le gain de performance constaté par AVTest entre Kaspersky Endpoint Security SP1 & SP2. Critères mesurés : téléchargement de fichiers, chargement de pages web, installation d’applications, lancement d’applications et ouverture de documents, copies de fichiers...


Côté Endpoint, citons comme nouveautés notables :

  • L’intégration du chiffrement Microsoft BitLocker (gamme Advanced) et une meilleure compatibilité hardware du chiffrement Kaspersky AES256bit
  • L’amélioration du contrôle du lancement des applications avec notamment la prise en charge des systèmes d’exploitation serveur, un nouveau rapport sur les lancements de test ou le fonctionnement simplifié de type “liste noire” et “liste blanche”...
  • La possibilité de contrôler l’accès au micro et webcam par les applications
  • Le contrôle des périphériques avec enregistrement des événements liés à la suppression ou à l’enregistrement de fichiers sur des appareils USB, la composition de la liste de réseaux Wi-Fi de confiance selon le nom, le type de chiffrement ou le type d’authentification...
  • L’amélioration du filtrage URL avec une liste des catégories de ressources Internet enrichies
  • L’amélioration de l’Antivirus de Courrier avec la possibilité de supprimer et de renommer au sein d’une archive.

Voyons les nouveautés côté KSC10SP2 MR1

  • Nouveau plugin pour Kaspersky Security for Microsoft Exchange Servers & SharePoint Servers ( Affichage des serveurs protégés dans le dossier Appareils administrés / Statistiques des mises à jour des bases de données et les statistiques antivirus / Prise en charge du serveur proxy KSN / Gestion centralisée des clés de licences / Suivi des événements... )
  • Audit et comparaison avancés des stratégies, tâches... avec restauration possible des paramètres de l’objet à une version antérieure
  • Possibilité de filtrer l’historique des révisions par utilisateur et heures de modifications
  • Information sur le fonctionnement du serveur proxy KSN selon la hiérarchie des Serveurs d’administration - les objets detectés à l’aide du KSN peuvent être vus dans des rapports spécifiques et les informations de réputations d’un fichier peuvent être consultées par l’utilisateur sur un simple clic droit de la souris
  • Prise en charge de l’Agent d’administration sur les tablettes type MS Surface pour une parfaite compatibilité avec le chiffrement complet des disques durs
  • KES for Mac & Linux : déploiement à distance des logiciels Kaspersky Endpoint Security pour Mac &Linux
  • Nouvel assistant pour les mises à jour des logiciels
  • Amélioration de l’assistant de conversion
  • Base SQL Express 2014 utilisée à la place de la version 2008 - supporte plus de noeuds sur une seule console

Attention : comme vous pourrez le constater ici, Windows XP n’est plus supporté avec la version KES10SP2 mais le restera sur les versions SP1 MRx.

mardi 11 avril 2017

Fin du support Windows Vista au 11 avril 2017

Chaque produit Windows a un cycle de vie. Le cycle de vie commence lorsqu’un produit est mis sur le marché et s’arrête lorsque son support n’est plus assuré. Les dates clés du cycle de vie vous permettent de savoir quand effectuer une mise à niveau ou d’autres modifications relatives à votre logiciel.

Fin du support

La fin du support correspond à la date à laquelle Microsoft ne fournit plus de correctifs automatiques, de mises à jour ou d’assistance technique en ligne. C’est le moment de vous assurer que vous avez bien installé le dernier Service Pack ou la dernière mise à jour disponible. Sans le support Microsoft, vous ne recevrez plus les mises à jour de sécurité qui permettent de protéger votre PC des virus dangereux, logiciels espions et autres logiciels malveillants susceptibles de voler vos informations personnelles. Pour plus d’informations, consultez le site web Politique de support Microsoft.

Systèmes d’exploitation clients

  • Windows Vista
Dernier Service Pack ou dernière mise à jour

Fin du support standard

  • 10 avril 2012

Fin du support étendu

.../...


Que signifie la fin du support de Windows Vista ?

À compter du 11 avril 2017, les clients Windows Vista ne recevront plus de nouvelles mises à jour de sécurité, de correctifs logiciels non liés à la sécurité, d'options de support assisté gratuit ou payant ou de mises à jour des contenus techniques en ligne de la part de Microsoft. Microsoft a assuré la prise en charge de Windows Vista au cours des 10 dernières années, mais le moment est venu pour nous, ainsi que pour nos partenaires matériels et logiciels, d’investir nos ressources vers des technologies plus récentes afin que nous puissions continuer d'offrir de nouvelles expériences inoubliables.

Que se passe-t-il si je continue à utiliser Windows Vista ?

Si vous continuez d’utiliser Windows Vista après la fin du support, votre ordinateur fonctionnera encore, mais il pourrait devenir plus vulnérable face aux risques de sécurité et aux virus. Internet Explorer 9 n'est plus pris en charge, par conséquent si votre PC Windows Vista est connecté à Internet et que vous utilisez Internet Explorer 9 pour naviguer, vous risquez d’exposer votre PC à des menaces supplémentaires. Par ailleurs, dans la mesure où les fabricants de matériel et de logiciels continuent d’optimiser leurs produits pour des versions plus récentes de Windows, de plus en plus d’applications et d’appareils ne fonctionneront pas avec Windows Vista.

Microsoft a également mis fin à la possibilité de télécharger Microsoft Security Essentials sur Windows Vista. Si vous avez déjà installé Microsoft Security Essentials, vous continuerez de recevoir les mises à jour des signatures anti-programmes malveillants pendant une durée limitée. Toutefois, notez que Microsoft Security Essentials (ou tout autre logiciel antivirus) aura une efficacité limitée sur les PC ne disposant pas des dernières mises à jour de sécurité. Cela signifie que les PC exécutant Windows Vista ne seront pas sécurisés et seront vulnérables aux virus et aux logiciels malveillants.

.../...

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
EUR'NET R.C.S. CLERMONT FERRAND 414 642 058 / NAF 6203 Z - Mentions Légales
Tél : 0899 49 48 49 (3 € / appel + prix appel)

*