Actualités Avast

Avast Wi-Fi Inspector détecte si votre PC est vulnérable à WannaCry

Threat Intelligence Team, 22 mai 2017

Le scan d'Avast Wi-Fi Inspector permet aux utilisateurs de les alerter si leur ordinateur, ou un autre ordinateur présent sur le réseau, est vulnérable à une exploitation par WannaCry ou Adylkuzz.

Article et recherche réalisés par Pavel Sramek, David Jursa et Lukas Rypacek

Le scan de votre ordinateur à l'aide de la solution Avast Wi-Fi Inspector peut révéler si celui-ci est vulnérable ou infecté, et si un ordinateur présent sur un réseau l'est également. Indépendamment du fait si l'ordinateur possède Avast ou non.

Les récentes épidémies de WannaCry et Adylkuzz ont été rendues possibles par un exploit connu sous le nom de EternalBlue. L'exploit profite de la vulnérabilité SMB marquée comme MS17-010 (Server Message Block, un protocole de partage de fichiers réseau) de la fonction "Partage de fichiers et d'imprimantes" sous Windows.

WannaCry et Adylkuzz ont ciblé quiconque n'ayant pas installé le correctif de la vulnérabilité que Microsoft a publié en mars dernier.

Les utilisateurs de Windows XP étaient particulièrement vulnérables à cette attaque jusqu'à ce que Microsoft publie un correctif pour les systèmes d'exploitation plus anciens.

Wi-Fi Inspector WannaCry

De nombreux ordinateurs sous Windows à travers le monde sont toujours vulnérables

Avast_PCs_vulnerable_EternalBlue.png

Présence de la vulnérabilité EternalBlue dans le monde

Les données provenant des scans Avast Wi-Fi Inspector (du 8 au 18 mai) montrent que les ordinateurs du monde entier fonctionnent toujours avec la vulnérabilité EternalBlue (voir la carte ci-dessus).

Depuis vendredi 12 mai, le nombre d'ordinateurs possédant cette vulnérabilité a diminué, mais beaucoup d'autres sont toujours vulnérables. Ceux-ci risquent d'être infectés par des logiciels malveillants, comme le ransomware WannaCry et le malware crypto-mineur Adylkuzz.

Voici la répartition de la moyenne mondiale au cours des dernières semaines de la présence de la vulnérabilité sur différents systèmes d'exploitation Windows :

  • Windows XP : 74,23%
  • Windows Vista : 68,11%
  • Windows 7 : 54.84%
  • Windows 8 : 21,89%
  • Windows 10 : 4,22%

Qu'est-ce que EternalBlue et DoublePulsar ?

EternalBlue se réfère à un bug critique dans le code Windows de Microsoft qui est au moins aussi ancien que Windows XP.

Le bug permet aux attaquants d'exécuter le code à distance en créant une requête aux fichiers Windows et aux demandes de partages d'imprimantes sous Windows. Le bug, ou l'exploit, a probablement été découvert par la NSA, qui lui a donné le nom "EternalBlue" et l'a gardé secret. Depuis que cela a été divulgué à Microsoft, la vulnérabilité est également connue par son CVE ID, CVE-2017-0143.

La NSA a créé un backdoor (une porte dérobée) pour exploiter EternalBlue, dans l'intention de garder les ordinateurs sources et de les vérifier de temps en temps, mais elle ne laisse aucune trace sur les systèmes.

Avec DoublePulsar, dont nos données du scan Avast Wi-Fi Inspector sont présentées sur 22.814 ordinateurs visibles, les attaquants peuvent infecter un ordinateur doté de la vulnérabilité EternalBlue sur le réseau auquel le PC est connecté.

Aucune action de l'utilisateur n'est nécessaire pour qu'un PC soit contaminé.

L'appareil doit simplement avoir la fonctionnalité "Partage de fichiers et d'imprimantes" activée et être connecté à un réseau. DoublePulsar reste sur le PC infecté et écoute les commandes de toutes les personnes qui y accèdent, permettant ainsi le téléchargement et l'exécution de tout outil d'espionnage ou de logiciels malveillants.

Vous pouvez imaginer cette erreur dans le protocole "Partage de fichiers et d'imprimantes" comme une erreur dans la conception d'une porte, qui consiste à un écart entre la porte et le cadre de celle-ci.

Cette porte est installée dans des millions de maisons à travers le monde. L'exploit (EternalBlue) est le pied-de-biche qui s'insère dans l'espace et peut donc ouvrir la porte. Le backdoor (DoublePulsar), est une butée de porte qui peut être coincée dans l'espace, tout en ouvrant la porte, pour empêcher la porte d'ouvrir indéfiniment. Cela permet à tout intrus d'ouvrir les portes et d'accéder aux maisons.

DoublePulsar et EternalBlue ont été divulgués par la NSA le 17 avril 2017. Avant cela, Microsoft avait publié en mars un avis de sécurité (MS17-010) et un correctif qui fermait la vulnérabilité EternalBlue.

Le vendredi dernier - le 12 mai 2017 - le ransomware WannaCry, se répandant comme un ver, a fait ses rondes en utilisant EternalBlue et DoublePulsar pour se répandre rapidement à travers le monde.

Que devons-nous faire ?

Pour savoir si votre PC est vulnérable, téléchargez Avast (si vous ne l'utilisez pas déjà) et exécutez l'analyse Avast Wi-Fi Inspector.

Pour ce faire, ouvrez Avast Antivirus, cliquez sur "Protection", puis "Wi-Fi Inspector" et cliquez sur "Analyse réseau" pour exécuter l'analyse.

Si l'analyse affiche votre PC ou un autre PC sur votre réseau (même les PC qui n'ont pas installé Avast) comme "Vulnérable à WannaCry / DoublePulsar", cliquez sur le bouton "Suivre le Guide" ou visitez le centre d'aide Avast pour obtenir un guide étape par étape concernant la façon de réparer Windows et ainsi corriger la vulnérabilité.

Vulnérabilité ms17

New Call-to-action

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.