22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France

33 Confickeritis

44 Partout en Europe

55

66 Dates clés 23 Octobre 2008, MS est publié hors cycle 21 Novembre 2008, Microsoft identifie Conficker.A 29 Decembre 2008, Conficker.B, plus virulent, est identifié 19 Janvier 2009, le MSRT nettoie Conficker 20 Février 2009, Conficker.C 4 Mars 2009, Conficker.D 8 Avril 2009, Conficker.E Plus d’informations sur:

77 Des impacts techniques variés Verrouillages de comptes Saturation des DCs et du réseau Perte d’accès à des ressources critiques Dénis de service Destruction de configurations

88 Des impacts directs sur l‘activité Hôpitaux déplaçant des patients Employés renvoyés à la maison Filiales coupées du site central Dommages d’image publique et perte de confiance Mobilisations des équipes pendants plusieurs semaines Temps moyen d’éradication complète: 3 mois ! Un coût de Conficker énorme et des dommages sur le long terme

99 M I C R O S O F T S E C U R I T Y S E R V I C E S La réponse de Microsoft Sasser Avril 2004 Blaster Aout 2003 Zotob August h 2h -48h 10j2j < 24h MS October 2008 (Conficker) MAPP 11j4j 2j -11j Aucun XPSP2 XPSP2&3, Vista, Server 2008 Guides en ligne/ Webcast Alerte et Conseils Produits non affectés Mises à jour disponible < 24h

10 Microsoft, The Conficker Cabal

11 Propagation de Conficker?

12 Et l’utilisateur à la maison? Peu impacté car: Par défaut le pare-feu de XPSP2 est activé Par défaut, sur XP SP2, Microsoft Update est activé Peu de comptes synchronisés/pas d’Active Directory Windows Vista/7 non impactés! Windows XP SP2, SP3, Windows Vista, dans leur configuration par défaut ne sont pas impactées par Conficker!

13 Et l’entreprise? Configurations affaiblies par: Pare-feu désactivé Mises à jour non déployées Mots de passe faibles Mauvaise gestion des comptes avec pouvoir Versions modernes de Windows peu déployées

14 Leçons durement apprises 99,999% se sont produites après la publication de MS Mieux vaut prévenir que courir! Conception erronée que l’installation d’une mise à jour bloque tous les vecteurs d’attaque! Souvent exposé par Conficker: Absence de contrôle opérationel: Pas de Plan de continuité Pas d’inventaire Pas de gestion de risque

15 Absence de gestion de parc Pas de gestion centralisée d’alertes Mises à jour non déployées sur la totalité du « parc » Anti-Virus obsolète (si présent…), signatures non mises à jour Configurations obsolètes, machines hors des cycles d’upgrade Difficultés d’application du plan de remédiation Si vous voulez vous protéger, connaissez ce que vous avez.

16 Patch Management = Sécurité ? Non, mais: La seule protection qui adresse le problème à sa source Il bloque immédiatement tous les codes malveillants, présents et futurs, qui exploitent la/les vulnérabilités corrigées.

17 Droits d’administration Est-ce que tout ça a vraiment besoin des privilèges d’administration du domaine?

18 Droits d’administration Appliquez le principe du privilège minimum: Ne vous logguez plus jamais Admin du Domaine. Utilisez RunAs pour lancer cmd.exe Puis utilisez MMC.exe Customisez vos.msc en fonction des tâches courantes Utilisez regedit à distance! Attention aux images déployées sans modifier le mot de passe des comptes d’administration locaux N’utilisez pas ces comptes pour vous logguer sur les machines.

19 Prévention – Countre-mesures Installer MS PARTOUT Anti-Virus récent et à jour Implémentation d’une politique de mot de passe forts Désactiver l’Autorun par GPO KB Ne pas se logguer avec un compte à pouvoirs sur des machines potentiellement infectées (càd toutes) Lutter contre l’idée fausse qu’nstaller MS vous protège contre toutes les variantes de Conficker

20