Retour d’expérience sur le ver Conficker
description
Transcript of Retour d’expérience sur le ver Conficker
![Page 1: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/1.jpg)
![Page 2: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/2.jpg)
22
Retour d’expérience sur le ver Conficker8 février 2010Jean GautierSecurity Support EngineerMicrosoft France
![Page 3: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/3.jpg)
33
Confickeritis
![Page 4: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/4.jpg)
44
Partout en Europe
http://www.team-cymru.org/Monitoring/Malevolence/conficker.html
![Page 5: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/5.jpg)
55
![Page 6: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/6.jpg)
66
Dates clés
23 Octobre 2008, MS08-067 est publié hors cycle21 Novembre 2008, Microsoft identifie Conficker.A29 Decembre 2008, Conficker.B, plus virulent, est
identifié19 Janvier 2009, le MSRT nettoie Conficker20 Février 2009, Conficker.C4 Mars 2009, Conficker.D8 Avril 2009, Conficker.E
Plus d’informations sur: http://www.microsoft.com/conficker
![Page 7: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/7.jpg)
77
Des impacts techniques variés
Verrouillages de comptesSaturation des DCs et du réseauPerte d’accès à des ressources critiquesDénis de serviceDestruction de configurations
![Page 8: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/8.jpg)
88
Des impacts directs sur l‘activité
Hôpitaux déplaçant des patientsEmployés renvoyés à la maisonFiliales coupées du site centralDommages d’image publique et perte de confianceMobilisations des équipes pendants plusieurs semainesTemps moyen d’éradication complète:
3 mois!
Un coût de Conficker énorme et des dommages sur le long terme
![Page 9: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/9.jpg)
99M I C R O S O F T S E C U R I T Y S E R V I C E S
La réponse de Microsoft
SasserAvril 2004
BlasterAout 2003
ZotobAugust 2005
24h 2h -48h10j 2j <
24h
MS08-067October 2008
(Conficker)
MAPP
11j 4j 2j -11jAucun Aucun XPSP2 XPSP2&3,
Vista, Server 2008
Guides en ligne/ Webcast
Alerte et Conseils
Produits non affectés
Mises à jour disponible
< 24h
![Page 10: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/10.jpg)
1010
Microsoft, The Conficker Cabal
![Page 11: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/11.jpg)
1111
Propagation de Conficker?
![Page 12: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/12.jpg)
1212
Et l’utilisateur à la maison?
Peu impacté car:Par défaut le pare-feu de XPSP2 est activéPar défaut, sur XP SP2, Microsoft Update est activéPeu de comptes synchronisés/pas d’Active DirectoryWindows Vista/7 non impactés!
Windows XP SP2, SP3, Windows Vista, dans leur configuration par défaut ne sont pas impactées par Conficker!
![Page 13: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/13.jpg)
1313
Et l’entreprise?
Configurations affaiblies par:Pare-feu désactivéMises à jour non déployéesMots de passe faibles
Mauvaise gestion des comptes avec pouvoir
Versions modernes de Windows peu déployées
![Page 14: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/14.jpg)
1414
Leçons durement apprises
99,999% se sont produites après la publication de MS08-067 Mieux vaut prévenir que courir!
Conception erronée que l’installation d’une mise à jour bloque tous les vecteurs d’attaque!
Souvent exposé par Conficker:Absence de contrôle opérationel:
Pas de Plan de continuitéPas d’inventairePas de gestion de risque
![Page 15: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/15.jpg)
1515
Absence de gestion de parc
Pas de gestion centralisée d’alertesMises à jour non déployées sur la totalité du « parc »Anti-Virus obsolète (si présent…), signatures non mises à jourConfigurations obsolètes, machines hors des cycles d’upgradeDifficultés d’application du plan de remédiation
Si vous voulez vous protéger, connaissez ce que vous avez.
![Page 16: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/16.jpg)
1616
Patch Management = Sécurité ?
Non, mais:
La seule protection qui adresse le problème à sa source
Il bloque immédiatement tous les codes malveillants, présents et futurs, qui exploitent la/les vulnérabilités corrigées.
![Page 17: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/17.jpg)
1717
Droits d’administration
Est-ce que tout ça a vraiment besoin des privilèges d’administration du domaine?
![Page 18: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/18.jpg)
1818
Droits d’administration
Appliquez le principe du privilège minimum:Ne vous logguez plus jamais Admin du Domaine.Utilisez RunAs pour lancer cmd.exe
Puis utilisez MMC.exe Customisez vos .msc en fonction des tâches courantesUtilisez regedit à distance!
Attention aux images déployées sans modifier le mot de passe des comptes d’administration locaux
N’utilisez pas ces comptes pour vous logguer sur les machines.
![Page 19: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/19.jpg)
1919
Prévention – Countre-mesures
Installer MS08-067 PARTOUTAnti-Virus récent et à jourImplémentation d’une politique de mot de passe fortsDésactiver l’Autorun par GPOKB 962007Ne pas se logguer avec un compte à pouvoirs sur des machines
potentiellement infectées (càd toutes)Lutter contre l’idée fausse qu’nstaller MS08-067 vous protège
contre toutes les variantes de Conficker
![Page 20: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/20.jpg)
2020
![Page 21: Retour d’expérience sur le ver Conficker](https://reader036.fdocument.pub/reader036/viewer/2022062315/568165dc550346895dd8f1fe/html5/thumbnails/21.jpg)