Alerte de sécurité ExtraHop : 67 % des environnements d’entreprise fonctionnent encore avec des protocoles exploités par les attaques WannaCry et NotPetya

Quatre ans après des attaques de ransomware dévastatrices, SMBv1 et d’autres protocoles vulnérables sont toujours exécutés dans des environnements informatiques à travers le monde

ExtraHop, leader des solutions de détection et de réponse réseau dans le cloud, publie une alerte de sécurité concernant la présence de protocoles non sécurisés dans les environnements informatiques des entreprises. Ce rapport détaille l’utilisation encore courante de protocoles déconseillés car insuffisamment sûrs, notamment SMBv1 (Server Message Block version 1), qui a été exploité par le ransomware WannaCry pour verrouiller l’accès au contenu de près d’un quart de million de machines à travers le monde il y a quatre ans.

Au début de 2021, l’équipe de recherche de menaces d’ExtraHop a mené une étude préliminaire destinée à examiner la fréquence de protocoles non sécurisés dans les environnements d’entreprise, plus particulièrement SMBv1, LLMNR (Link-Local Multicast Nom Resolution), NTLMv1 (NT Lan Manager) et HTTP (Hypertext Transfer Protocol). Cette étude a révélé un usage alarmant de ces protocoles, exposant les entreprises et leurs clients à des risques considérables.

  • SMBv1 : ce protocole, exploité par des attaques telles que WannaCry et NotPetya, peut propager rapidement un malware à d’autres serveurs non corrigés sur un réseau. L’étude d’ExtraHop révèle que SMBv1 est encore présent dans 67 % des environnements en 2021, plus de quatre ans après la mise au jour de la faille EternalBlue et de vulnérabilités apparentées.

 

  • LLMNR : LLMNR peut être exploité pour donner accès au hashcode des identifiants d’un utilisateur. Le déchiffrement de ce code peut fournir des informations permettant à des acteurs malveillants de se connecter à un compte et d’accéder à des données personnelles ou professionnelles sensibles. Selon l’étude d’ExtraHop, 70 % des environnements utilisent encore LLMNR.

 

  • NTLM : bien que Microsoft ait recommandé aux entreprises de ne plus employer NTLM au profit du protocole d’authentification Kerberos, nettement plus sécurisé, le premier reste très courant. 34 % des environnements d’entreprise comptent au moins 10 postes clients utilisant NTLMv1.

 

  • HTTP : lorsque des identifiants sont transmis en clair via HTTP, cela revient à crier ses mots de passe en public. Malgré ce risque, l’étude d’ExtraHop indique que 81 % des environnements d’entreprise transmettent encore des identifiants non sécurisés via HTTP.

« Il est facile de dire aux entreprises qu’elles doivent écarter ces protocoles de leurs environnements mais souvent ce n’est pas si simple. L’abandon de SMBv1 et d’autres protocoles déconseillés risque de ne pas être possible pour des systèmes anciens et, quand bien même elle le serait, cette migration peut provoquer des pannes handicapantes. De nombreuses équipes informatiques et de sécurité préfèrent tenter de maîtriser un protocole obsolète que de risquer une panne », commente Ted Driggs, responsable produits chez ExtraHop. « Les entreprises ont besoin d’un inventaire précis et à jour des comportements au sein de leur parc afin d’évaluer leur profil de risque en matière de protocoles non sécurisés. Elles seules pourront ensuite décider comment remédier au problème ou limiter la portée des systèmes vulnérables sur le réseau. »

Le rapport complet est téléchargeable via ce lien : Security Advisory: Insecure Protocol Usage Exposes Organizations to Cybersecurity Risk.

Pour en savoir plus sur les protocoles et les activités malveillantes associées, consultez la bibliothèque ExtraHop des protocoles réseau.

Articles similaires
L’étude Delinea révèle que les ransomwares sont de nouveau en hausse alors que les cybercriminels se tournent vers l’exfiltration de données

Plus de 75 % des entreprises paient des ransomwares Les entreprises de taille moyenne deviennent la cible privilégiée L’informatique dématérialisée est le vecteur d’attaque le plus vulnérable

IFS nomme Mathieu Daudigny au poste de Directeur Général France

IFS, spécialiste mondial des solutions cloud d’entreprise, annonce que Mathieu Daudigny a été promu Directeur Général France en parallèle de ses fonctions de CFO pour la région Europe du Sud & LatAm. Cette nomination prend effet immédiatement. Dans son rôle de Managing Director France, il reporte à André Robberts, Président de la région Europe du […]

Delinea acquiert Authomize pour renforcer le PAM étendu en détectant et en atténuant les menaces liées à l’identité et à l’accès dans le cloud

Le leader de la gestion des accès à privilèges accélère la gestion des droits d’accès à l’infrastructure cloud (CIEM) et les capacités de détection et de réponse aux menaces d’identité (ITDR) sur la plateforme Delinea.