Voici trois étapes claires pour vous aider à vous protéger, vous et vos entreprises, autant que possible.
« Il ne pleut jamais mais il pleut à verse ». C'est le dicton qui décrit les situations dans lesquelles plusieurs mauvaises choses se produisent en même temps, et ces situations sont celles que les équipes chargées des incidents de sécurité connaissent bien. En fait, les équipes de sécurité du monde entier ont récemment été confrontées à ce genre de situation en raison des menaces actives et redoutables de PrintNightmare et de Kaseya.
Pour ceux qui ne disposent pas d'équipes de sécurité spécialisées, comme les particuliers et les petites et moyennes entreprises (PME), il peut être à la fois déroutant et accablant de comprendre ce que vous devez faire face à l'un ou l'autre de ces événements de sécurité.
Dans cet article, je vais vous expliquer brièvement mais clairement ce que vous devez faire pour assurer votre sécurité et celle de votre entreprise. Cela se résume à trois étapes simples :
1. Si vous utilisez Kaseya VSA, déconnectez vos serveurs Kasya VSA comme indiqué par Kaseya.
2. Installez immédiatement la mise à jour de sécurité récemment publiée par Microsoft pour la vulnérabilité de Print Spooler (également appelée vulnérabilité PrintNightmare).
3. Continuez à surveiller les informations de Kaseya et de Microsoft pour toute nouvelle mesure que vous pourriez avoir à prendre.
Déconnexion des serveurs Kaseya VSA
Kaseya fabrique des logiciels pour aider à gérer les ordinateurs et les serveurs. Le 2 juillet 2021, Kaseya a appris qu'elle avait subi une attaque visant à diffuser un ransomware sur les ordinateurs et les serveurs gérés par son logiciel. Une attaque indirecte de ce type est parfois appelée "attaque en chaîne" et est similaire aux attaques de SolarWinds en décembre 2020.
Cette "chaîne" d'attaque devient plus compliquée parce que beaucoup des mêmes clients finaux qui utilisent Kaseya VSA et pourraient être à risque utilisent également ce produit en tant que clients de fournisseurs de services gérés (MSP). Ces clients peuvent ne pas se considérer comme des "clients Kaseya" mais plutôt comme des clients de leur MSP spécifique, même si dans cette situation, ils sont à risque en tant qu'utilisateurs du produit VSA de Kaseya.
Kaseya s'efforce d'empêcher la propagation des ransomwares par le biais de son produit et a donné des instructions claires à ses clients pour le moment : Si vous avez un serveur Kaseya VSA, vous devez le mettre hors ligne jusqu'à nouvel ordre de Kaseya.
Cette mesure brise la "chaîne" de cette attaque et constitue la meilleure mesure que tout client de Kaseya puisse prendre. Cela peut empêcher la charge utile du ransomware que les attaquants ont placée dans la chaîne de distribution de Kaseya d'atteindre et d'infecter vos systèmes.
Si vous êtes le client d'un MSP qui utilise Kaseya, il se peut que vous n'ayez pas vous-même un serveur Kaseya VSA : votre MSP peut l'avoir. La meilleure chose à faire ici est de contacter votre MSP et de lui demander s'il est au courant des conseils de Kaseya, ce qu'il fait en réponse à ces conseils, et quelles mesures vous devez prendre pour rester protégé.
Kaseya a indiqué que cette mesure est une mesure temporaire pour protéger ses clients pendant qu'ils travaillent sur cette situation. L'entreprise prévoit de demander à ses clients de remettre leurs serveurs VSA en ligne dès que l'enquête et les mesures correctives seront terminées.
Installer la mise à jour de sécurité pour la vulnérabilité PrintNightmare
Le 1er juillet 2021, il a été signalé l'existence d'une nouvelle vulnérabilité non corrigée affectant le spouleur d'impression dans toutes les versions de Microsoft Windows. Le Spooler d'impression est responsable du traitement du formatage, de la soumission et de la gestion des travaux d'impression dans Windows et s'exécute par défaut sur tous les systèmes avec les mêmes privilèges que le système d'exploitation. L'impact potentiel d'une attaque réussie contre cette vulnérabilité serait de donner à un attaquant le contrôle complet du système. Cela est particulièrement dangereux pour les contrôleurs de domaine, car une attaque contre ces systèmes pourrait donner à quelqu'un le contrôle complet de tout le réseau, et pas seulement d'un seul système.
Depuis le 6 juillet 2021, Microsoft a publié une mise à jour de sécurité hors bande d'urgence pour corriger cette vulnérabilité.
La gravité de cette vulnérabilité est illustrée par le fait que Microsoft a non seulement publié une mise à jour de sécurité d'urgence, mais aussi des mises à jour de sécurité pour des versions de Windows qui ne sont plus prises en charge.
Ce que vous devez faire dans cette situation est simple : Téléchargez et installez cette mise à jour de sécurité pour tous les systèmes Windows dès que possible.
Si vous utilisez une version de Windows qui n'est plus prise en charge, comme Windows 7, vous devez également chercher à migrer vers une version de Windows prise en charge dès que possible après avoir installé cette mise à jour de sécurité. Les versions de Windows non prises en charge sont vulnérables à un certain nombre d'autres failles de sécurité, et le fait d'utiliser une version non prise en charge est intrinsèquement dangereux.
À l'heure actuelle, il n'existe aucune attaque généralisée connue contre cette vulnérabilité.
Continuer à surveiller les nouvelles informations
Ces deux situations sont toujours en cours et de nouvelles informations peuvent (et vont) apparaître. Par exemple, Kaseya a indiqué que ses clients doivent être prêts à remettre en ligne leurs serveurs Kaseya VSA lorsqu'ils y sont invités.
En outre, chaque fois qu'il y a un correctif d'urgence comme celui que Microsoft a publié, il y a toujours une chance qu'il y ait de nouveaux développements après sa publication.
Pour ces raisons, après avoir suivi les étapes décrites dans cet article, vous devez continuer à surveiller les sites Web de Kaseya et de Microsoft pour toute nouvelle étape.
Si vous prenez les mesures susmentionnées et continuez à surveiller les nouvelles informations, vous aurez fait tout ce que vous pouvez pour vous protéger le plus efficacement possible, ainsi que vos systèmes et votre entreprise, contre ces deux événements majeurs et simultanés en matière de sécurité.
Avast est un leader mondial de la cybersécurité et de la protection de la vie privée avec des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre produits antivirus, anti-ransomware et de protection de la vie privée.