Alerte de sécurité ExtraHop : 67 % des environnements d’entreprise fonctionnent encore avec des protocoles exploités par les attaques WannaCry et NotPetya

Quatre ans après des attaques de ransomware dévastatrices, SMBv1 et d’autres protocoles vulnérables sont toujours exécutés dans des environnements informatiques à travers le monde

ExtraHop, leader des solutions de détection et de réponse réseau dans le cloud, publie une alerte de sécurité concernant la présence de protocoles non sécurisés dans les environnements informatiques des entreprises. Ce rapport détaille l’utilisation encore courante de protocoles déconseillés car insuffisamment sûrs, notamment SMBv1 (Server Message Block version 1), qui a été exploité par le ransomware WannaCry pour verrouiller l’accès au contenu de près d’un quart de million de machines à travers le monde il y a quatre ans.

Au début de 2021, l’équipe de recherche de menaces d’ExtraHop a mené une étude préliminaire destinée à examiner la fréquence de protocoles non sécurisés dans les environnements d’entreprise, plus particulièrement SMBv1, LLMNR (Link-Local Multicast Nom Resolution), NTLMv1 (NT Lan Manager) et HTTP (Hypertext Transfer Protocol). Cette étude a révélé un usage alarmant de ces protocoles, exposant les entreprises et leurs clients à des risques considérables.

• SMBv1 : ce protocole, exploité par des attaques telles que WannaCry et NotPetya, peut propager rapidement un malware à d’autres serveurs non corrigés sur un réseau. L’étude d’ExtraHop révèle que SMBv1 est encore présent dans 67 % des environnements en 2021, plus de quatre ans après la mise au jour de la faille EternalBlue et de vulnérabilités apparentées.

• LLMNR : LLMNR peut être exploité pour donner accès au hashcode des identifiants d’un utilisateur. Le déchiffrement de ce code peut fournir des informations permettant à des acteurs malveillants de se connecter à un compte et d’accéder à des données personnelles ou professionnelles sensibles. Selon l’étude d’ExtraHop, 70 % des environnements utilisent encore LLMNR.

• NTLM : bien que Microsoft ait recommandé aux entreprises de ne plus employer NTLM au profit du protocole d’authentification Kerberos, nettement plus sécurisé, le premier reste très courant. 34 % des environnements d’entreprise comptent au moins 10 postes clients utilisant NTLMv1.

• HTTP : lorsque des identifiants sont transmis en clair via HTTP, cela revient à crier ses mots de passe en public. Malgré ce risque, l’étude d’ExtraHop indique que 81 % des environnements d’entreprise transmettent encore des identifiants non sécurisés via HTTP.

« Il est facile de dire aux entreprises qu’elles doivent écarter ces protocoles de leurs environnements mais souvent ce n’est pas si simple. L’abandon de SMBv1 et d’autres protocoles déconseillés risque de ne pas être possible pour des systèmes anciens et, quand bien même elle le serait, cette migration peut provoquer des pannes handicapantes. De nombreuses équipes informatiques et de sécurité préfèrent tenter de maîtriser un protocole obsolète que de risquer une panne », commente Ted Driggs, responsable produits chez ExtraHop. « Les entreprises ont besoin d’un inventaire précis et à jour des comportements au sein de leur parc afin d’évaluer leur profil de risque en matière de protocoles non sécurisés. Elles seules pourront ensuite décider comment remédier au problème ou limiter la portée des systèmes vulnérables sur le réseau. »

Le rapport complet est téléchargeable via ce lien : Security Advisory: Insecure Protocol Usage Exposes Organizations to Cybersecurity Risk.

Pour en savoir plus sur les protocoles et les activités malveillantes associées, consultez la bibliothèque ExtraHop des protocoles réseau.