1 / 21

Retour d’expérience sur le ver Conficker

Retour d’expérience sur le ver Conficker. 8 février 2010 Jean Gautier Security Support Engineer Microsoft France. Confickeritis. Partout en Europe . http://www.team-cymru.org/Monitoring/Malevolence/conficker.html. Dates clés. 23 Octobre 2008, MS08-067 est publié hors cycle

zev
Download Presentation

Retour d’expérience sur le ver Conficker

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Retour d’expérience sur le ver Conficker 8 février 2010Jean Gautier Security Support Engineer Microsoft France

  2. Confickeritis

  3. Partout en Europe http://www.team-cymru.org/Monitoring/Malevolence/conficker.html

  4. Dates clés • 23 Octobre 2008, MS08-067 est publié hors cycle • 21 Novembre 2008, Microsoft identifie Conficker.A • 29 Decembre 2008, Conficker.B, plus virulent, est identifié • 19 Janvier 2009, le MSRT nettoie Conficker • 20 Février 2009, Conficker.C • 4 Mars 2009, Conficker.D • 8 Avril 2009, Conficker.E Plus d’informations sur: http://www.microsoft.com/conficker

  5. Des impacts techniques variés • Verrouillages de comptes • Saturation des DCs et du réseau • Perte d’accès à des ressources critiques • Dénis de service • Destruction de configurations

  6. Des impacts directs sur l‘activité • Hôpitaux déplaçant des patients • Employés renvoyés à la maison • Filiales coupées du site central • Dommages d’image publique et perte de confiance • Mobilisations des équipes pendants plusieurs semaines • Temps moyen d’éradication complète: • 3 mois! • Un coût de Conficker énorme et des dommages sur le long terme

  7. La réponse de Microsoft MS08-067October 2008 (Conficker) SasserAvril 2004 ZotobAugust 2005 BlasterAout 2003 2h Alerte et Conseils MAPP 24h -48h Guides en ligne/ Webcast 10j 2j < 24h < 24h Mises à jour disponible 2j 11j 4j -11j XPSP2&3, Vista, Server 2008 Produits non affectés Aucun Aucun XPSP2

  8. Microsoft, The Conficker Cabal

  9. Propagation de Conficker?

  10. Et l’utilisateur à la maison? • Peu impacté car: • Par défaut le pare-feu de XPSP2 est activé • Par défaut, sur XP SP2, Microsoft Update est activé • Peu de comptes synchronisés/pas d’Active Directory • Windows Vista/7 non impactés! • Windows XP SP2, SP3, Windows Vista, dans leur configuration par défaut ne sont pas impactées par Conficker!

  11. Et l’entreprise? • Configurations affaiblies par: • Pare-feu désactivé • Mises à jour non déployées • Mots de passe faibles • Mauvaise gestion des comptes avec pouvoir • Versions modernes de Windows peu déployées

  12. Leçons durement apprises • 99,999% se sont produites après la publication de MS08-067 • Mieux vaut prévenir que courir! • Conception erronée que l’installation d’une mise à jour bloque tous les vecteurs d’attaque! • Souvent exposé par Conficker: • Absence de contrôle opérationel: • Pas de Plan de continuité • Pas d’inventaire • Pas de gestion de risque

  13. Absence de gestion de parc • Pas de gestion centralisée d’alertes • Mises à jour non déployées sur la totalité du « parc » • Anti-Virus obsolète (si présent…), signatures non mises à jour • Configurations obsolètes, machines hors des cycles d’upgrade • Difficultés d’application du plan de remédiation Si vous voulez vous protéger, connaissez ce que vous avez.

  14. Patch Management = Sécurité ? • Non, mais: • La seule protection qui adresse le problème à sa source • Il bloque immédiatement tous les codes malveillants, présents et futurs, qui exploitent la/les vulnérabilités corrigées.

  15. Droits d’administration Est-ce que tout ça a vraiment besoin des privilèges d’administration du domaine?

  16. Droits d’administration • Appliquez le principe du privilège minimum: • Ne vous logguez plus jamais Admin du Domaine. • Utilisez RunAs pour lancer cmd.exe • Puis utilisez MMC.exe • Customisez vos .msc en fonction des tâches courantes • Utilisez regedit à distance! • Attention aux images déployées sans modifier le mot de passe des comptes d’administration locaux • N’utilisez pas ces comptes pour vous logguer sur les machines.

  17. Prévention – Countre-mesures • Installer MS08-067 PARTOUT • Anti-Virus récent et à jour • Implémentation d’une politique de mot de passe forts • Désactiver l’Autorun par GPO • KB 962007 • Ne pas se logguer avec un compte à pouvoirs sur des machines potentiellement infectées (càd toutes) • Lutter contre l’idée fausse qu’nstaller MS08-067 vous protège contre toutes les variantes de Conficker

More Related