La faille de sécurité exploitée par WannaCry est toujours vivante, quatre ans plus tard

Le protocole qui a été exploité par le ransomware WannaCry pour chiffrer près d’un quart de million de systèmes dans le monde il y a quatre ans est toujours utilisé dans les environnements informatiques d’entreprise selon une nouvelle étude d’ExtraHop.

L’équipe de recherche sur les menaces de la société de détection et de réponse réseau a d’abord commencé à examiner la prévalence des protocoles non sécurisés tels que Server Message Block version un (SMBv1), Link-Local Multicast Name Resolutions (LLMNR), NT Lan Manager (NTLMv1) et Hypertext Transfer Protocol ( HTTP) dans les environnements informatiques d’entreprise plus tôt cette année.

ExtraHop a maintenant publié un nouvel avis de sécurité basé sur les résultats de ses recherches, qui révèle que ces protocoles qui exposent les organisations et leurs clients à des risques considérables sont toujours utilisés aujourd’hui.

Protocoles non sécurisés

Selon les recherches d’ExtraHop, SMBv1, qui a été exploité pour des attaques telles que WannaCry et NotPetya et qui a rapidement propagé des logiciels malveillants vers d’autres serveurs non corrigés sur un réseau, se trouve toujours dans 67% des environnements informatiques en 2021.

La recherche a également révélé que 70% des environnements exécutent toujours LLMNR malgré le fait que ce protocole peut être exploité pour accéder aux hachages des informations d’identification des utilisateurs. Ces hachages d’informations d’identification peuvent ensuite être piratés pour exposer les informations de connexion réelles que les acteurs malveillants peuvent utiliser pour accéder à des données personnelles et professionnelles sensibles.

Bien que Microsoft ait recommandé aux organisations d’arrêter d’utiliser NTLM et d’adopter à la place le protocole d’authentification Kerberos plus sécurisé, NTLM est encore assez courant et 34% des environnements d’entreprise ont au moins 10 clients exécutant NTLMv1.

Enfin, ExtraHop a constaté que 81% des environnements d’entreprise utilisent toujours des informations d’identification HTTP en clair non sécurisées.

Chef de produit chez ExtraHop, Ted Driggs a fourni des informations supplémentaires sur les résultats de la recherche de l’entreprise dans un communiqué de presse, en disant:

«Il est facile de dire que les organisations devraient se débarrasser de ces protocoles dans leurs environnements, mais souvent ce n’est pas aussi simple. La migration hors de SMBv1 et d’autres protocoles obsolètes peut ne pas être une option pour les systèmes hérités, et même si c’est une option, peuvent provoquer des interruptions de service. De nombreuses organisations informatiques et de sécurité choisiront d’essayer de contenir le protocole obsolète au lieu de risquer une panne. Les organisations ont besoin d’un inventaire précis et à jour du comportement de leurs actifs pour évaluer la posture de risque en cas d’insécurité Ce n’est qu’alors qu’ils peuvent décider comment résoudre le problème ou limiter la portée des systèmes vulnérables sur le réseau. « 

Sources :

• checkpoint.com