L'exploit EternalBlue est plus populaire qu'il ne l'était il y a un an
L'année dernière, nous avons assisté à l'une des plus grandes cyberattaques de l'histoire d'Internet. Connu sous le nom de WannaCry (ou WannaCryptor),[1] Le ransomware a touché environ 150 pays avec l'aide du kit d'exploitation EternalBlue qui a permis d'exploiter la vulnérabilité du système d'exploitation Windows et d'accéder à distance à la machine. Néanmoins, le virus de cryptage de fichiers n'est pas très actif pour le moment; les chercheurs rapportent que l'utilisation de l'EternalBlue est plus élevée qu'elle ne l'était l'année dernière.
Les récents rapports de recherche[2] cette popularité du kit d'exploit augmente depuis quelques mois et a atteint son apogée à la mi-avril 2018. La situation s'explique assez facilement. De nombreux utilisateurs d'ordinateurs et entreprises n'ont pas installé les correctifs de sécurité disponibles et les cybercriminels sont au courant de la situation.
L'exploit EternalBlue a été utilisé non seulement dans la distribution de ransomware, mais aussi pour diffuser des logiciels malveillants de cryptojacking
EternalBlue cible une vulnérabilité dans le protocole Windows SMB
Le groupe de pirates informatiques appelé Shadow Brokers a volé EternalBlue à la United States Security Agency (NSA) à la mi-avril 2017.[5] Cependant, la NSA n'a pas confirmé avoir créé ce ou plusieurs autres kits d'exploit divulgués.
Cependant, depuis que le kit d'exploit est devenu disponible sur le dark web, les cybercriminels ont réussi à l'utiliser plusieurs fois. Depuis l'année dernière, il a été utilisé pour des attaques de ransomware dans le monde entier, notamment WannaCry, Petya/NotPetya et BadRabbit.
EternalBlue cible une vulnérabilité dans l'implémentation par Microsoft du protocole Server Message Block (SMB) via le port 445. Une telle cyberattaque permet aux attaquants d'exécuter à distance du code arbitraire sur l'ordinateur ciblé.
En termes simples, lorsque les pirates accèdent à l'ordinateur, ils peuvent accéder à distance à n'importe quel appareil ou réseau connecté à la machine ciblée. Par conséquent, ils peuvent installer des logiciels malveillants, pirater des imprimantes ou continuer à se propager via les réseaux. Sans aucun doute, cette attaque est particulièrement dangereuse et dommageable pour les entreprises et les organisations. En quelques heures, tout le travail de l'entreprise peut être arrêté et des données importantes peuvent être perdues en raison de la cyberattaque.
Protéger l'ordinateur Windows de l'attaque
Microsoft a publié un bulletin de sécurité MS17-010 le 14 mai 2017 pour aider les utilisateurs à protéger leur ordinateur contre d'éventuelles cyberattaques. La société a fourni des mises à jour de sécurité pour toutes les versions vulnérables de Windows, y compris Windows XP qui n'est plus pris en charge depuis avril 2014.
Cependant, tout le monde ne s'est pas précipité pour installer des mises à jour importantes. D'innombrables utilisateurs d'ordinateurs personnels et entreprises utilisent encore des versions non protégées de Windows. Les spécialistes de la sécurité encouragent à les télécharger dès que possible – ils sont disponibles gratuitement.
De plus, pour garder l'ordinateur entièrement protégé, il est également recommandé de mettre à jour tous les programmes et de désinstaller les logiciels obsolètes qui ne sont pas utilisés. L'installation d'un programme de sécurité est également recommandée pour garder la machine exempte de virus.