Rechercher sur ce blogue

samedi 24 juin 2017

Un nouveau ver exploite sept failles découvertes par la NSA (contre deux seulement pour WannaCry)





23/05/17
Des chercheurs ont repéré un nouveau maliciel (malware) exploitant pas moins de sept failles de la NSA. Chaque brèche avait été décelée par la NSA, puis dévoilée par le groupe de hackers The Shadow Brokers. WannaCry n'exploitait pour sa part que deux de ces bugs.



Le nouveau ver a été découvert en premier lieu par Miroslav Stampar, un membre du CERT (computer emergency response team) croate. Les plus anciennes traces du virus remontent au 3 mai déjà, selon l'expert en cyber-sécurité sur Github. Stampar a découvert Eternalrocks (comme il s'appelle) au moyen d'un 'honeypot' (pot de miel ou piège à pirates) Windows 7. Un honeypot est un système informatique rendu sciemment vulnérable et surveillé, afin d'intercepter et d'analyser de nouvelles menaces.
EternalRocks utilise ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE et ETERNALSYNERGY pour infecter de nouveaux ordinateurs. SMBTOUCH et ARCHITOUCH sont, elles, exploitées pour rechercher de nouvelles victimes, et DOUBLEPULSAR pour se propager vers d'autres machines. Ces sept failles avaient été décelées par la NSA américaine. WannaCry, le rançongiciel qui a fait dernièrement plus de 240.000 victimes, n'exploitait pour sa part qu'ETERNALBLUE et DOUBLEPULSAR.
Contrairement à WannaCry, ce maliciel passe provisoirement inaperçu aux yeux des utilisateurs. Dans un premier temps, EternalRocks télécharge le navigateur Tor pour établir une connexion privée avec les serveurs cachés du ver. Ce n'est que le lendemain que l'infection commence à se propager. Cela a probablement pour but de mettre les experts en cyber-sécurité sur une mauvaise piste, étant donné que rares sont ceux qui attendent un jour complet une réponse du serveur caché. Dans une autre tentative de mystifier les experts, le maliciel s'appelle lui-même aussi WannaCry.
Provisoirement, le ver se propage en grand secret, sans entreprendre d'action. On ne sait de la sorte pas combien d'ordinateurs sont déjà infectés. Stampar met toutefois en garde contre le fait qu'EternalRocks peut être activé à tout moment, afin d'acheminer des maliciels sur tout système contaminé. Plus vite l'utilisateur met à jour son ordinateur au moyen des plus récents correctifs, mieux c'est donc.

REF.:

Aucun commentaire: