Lutte contre les ransomwares

Documents pareils
Installation d un manuel numérique 2.0

Guide pour sécuriser votre PC avec Kiosk Internet et Windows Seven

Manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus

PARAMETRER INTERNET EXPLORER 9

Connecteur Zimbra pour Outlook 2007 et 2010 (ZCO) w

Guide de démarrage IKEY 2032 / Vigifoncia

Manuel de déploiement sous Windows & Linux

La Clé informatique. Formation Internet Explorer Aide-mémoire

Syfadis. > Configuration du poste client. Nous vous aidons à réussir. REFERENCE : Syfadis LMS - 20/06/2007. AUTEUR : Equipe technique Syfadis

Les logiciels gratuits en ligne

Moteur de réplication de fichiers BackupAssist

Installation d un ordinateur avec reprise des données

Fiche Technique. MAJ le30/03/2011

Syfadis. > Configuration du poste client. Nous vous aidons à réussir. REFERENCE : Syfadis LMS - 12/09/2008. AUTEUR : Equipe technique Syfadis

Préconisations Portail clients SIGMA

Configuration de GFI MailArchiver

Universalis Guide d installation. Sommaire

HAYLEM Technologies Inc.

PARAMETRAGE D INTERNET EXPLORER POUR L UTILISATION DE GRIOTTE

AIDE TECHNIQUE POUR L UTILISATION DE GÉODEQ III VUES D ENSEMBLE DU QUÉBEC

1. Introduction Sauvegardes Hyper-V avec BackupAssist Avantages Fonctionnalités Technologie granulaire...

UltraBackup NetStation 4. Guide de démarrage rapide

Plug-in Verizon Collaboration pour Microsoft Outlook Guide de l utilisateur

CONSULTATION SUR PLACE

PROCEDURE D INSTALLATION et de CONFIGURATION DU SERVICE PACK2 POUR WINDOWS XP

Sauvegarde et restauration de données

Copyright Arsys Internet E.U.R.L. Arsys Backup Online. Guide de l utilisateur

Guide d utilisation WEBPORTAL CPEM Portail d Applications Web CPEM

Démarrer et quitter... 13

Désinfection de Downadup

Utilisation de la Plateforme Office365 et d Oultlook Web App

WebSpy Analyzer Giga 2.1 Guide de démarrage

Créer et partager des fichiers

Microsoft Security Essentials

GUIDE MEMBRE ESPACE COLLABORATIF. Février 2012

CONTACT EXPRESS 2011 ASPIRATEUR D S

Connecter le lecteur réseau de Pro-Cardex 3 Vérifier la version du gestionnaire de base de données 5 Procéder à l installation 6

Guide de l utilisateur Mikogo Version Windows

Guide d installation

GeoGebra & Microsoft Office 631

Sauvegarder sa messagerie Outlook 2010

Cahier Technique Envoi par à partir des logiciels V7.00

Support de formation Notebook

Manuel de l'utilisateur

COURS 5 Mettre son site en ligne! Exporter son site avec WordPress Duplicator Installer un logiciel FTP Faire le suivi des visites de son site avec

Guide d installation UNIVERSALIS 2014

Progitek Backup- s Shareware version 6.0 du 1 er février 2008

Migration du pack office Planification, préparation, déploiement et formation

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

Installation de Microsoft Office Version 2.1

Installation-Lancement

26 Centre de Sécurité et de

Tropimed Guide d'installation

9 - Installation RDS sur 2008R2 SOMMAIRE. Chapitre 1 Mise en place RDS sous Windows 2008 R2 2

Sessions en ligne - QuestionPoint

AudiParc Recommandations IMPORTANTES. AudiParc Principe de fonctionnement. AudiParc Installation Déployement

NOTICE D INSTALLATION ET D UTILISATION DE LIVE BACKUP

1. Introduction Avantages, fonctionnalités, limitations et configuration requise Avantages... 2

J'ai changé d'ordinateur, comment sauvegarder mon certificat?

FICHIERS ET DOSSIERS

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

Procédure d installation des logiciels EBP sous environnement ESU4. Serveur SCRIBE ou Windows

À propos de cette page Recommandations pour le mot de passe... 26

_ PARAMETRE DU COMPTE _ ACCEUIL. 1 ere Etape «Créer un compte principal» Créer un compte secondaire. Ouvrir un compte principal

GUIDE DE L UTILISATEUR

Groupes et utilisateurs locaux avec Windows XP

PARAGON - Sauvegarde système

Service d information pour remise de paiement de factures Scotia

Netstorage et Netdrive pour accéder à ses données par Internet

Les Audits. 3kernels.free.fr 1 / 10

MIGRATION DE THUNDERBIRD VERS OUTLOOK mardi 16 octobre 2012

AFTEC SIO 2. Christophe BOUTHIER Page 1

Mise en route et support Envision 10 SQL server (Avril 2015) A l'intention de l'administrateur SQL Server et de l administrateur Envision

Certificats «CREDIT LYONNAIS Authentys Entreprise» Manuel utilisateur du support cryptographique

Instructions d installation de MS SQL Server pour Sage 50 Classement et Gestion commerciale. Sage Suisse SA Avenue Mon-Repos Lausanne

Systèmes informatiques

Procédure Platine Exchange 2010 Accompagnement à la migration de votre compte 09/08/ Version 1.0 Hébergement web professionnel

ZOTERO. Installation. Bibliothèque de Pharmacie. Service Formation

ANTIDOTE 8 INSTALLATION RÉSEAU WINDOWS

Fiche Technique. Cisco Security Agent

cbox VOS FICHIERS DEVIENNENT MOBILES! INTERFACE WEB MANUEL D UTILISATION

La Gestion Électronique de Documents spécialement conçue pour les Experts Comptables

Instructions relatives à l installation et à la suppression des pilotes d imprimante PostScript et PCL sous Windows, version 8

Gestion des certificats en Internet Explorer

AutoBackup 4. Sauvegarde de la totalité des données personnelles ASSOCIATION INFORMATIQUE POUR TOUS - VIEILLEVIGNE Gilbert LECOCQ

Découvrez Windows NetMeeting

Atelier Le gestionnaire de fichier

Table des matières...2 Introduction...4 Terminologie...4

Publication dans le Back Office

Guide utilisateur XPAccess. Version Manuel de référence 1/34

Nous vous proposons des formations à la carte et vous accompagnons dans leur mise en oeuvre au quotidien.

Printer Administration Utility 4.2

Installation Client (licence réseau) de IBM SPSS Modeler 14.2

MANUEL DE L UTILISATEUR

Manuel d utilisation du module Liste de cadeaux PRO par Alize Web

Guide de l utilisateur du Centre de gestion des licences en volume LICENCES EN VOLUME MICROSOFT

CONDITIONS D UTILISATION VERSION NOMADE

Version 5.0. Manuel d'utilisation. Manuel d'utilisation

Symantec Backup Exec Remote Media Agent for Linux Servers

I. Objectifs de ce document : II. Le changement d architecture :

Transcription:

2016 HANDBOOK Lutte contre les ransomwares Mesures préventives de premier niveau http://www.intrinsec.com

TABLE DES MATIERES 1 Introduction 3 2 Périmètre d application 4 3 Mesures 5 3.1 Limiter l exécution des macros Office 5 3.2 Empêcher l exécution automatique des fichiers de script (.js, etc.) 9 3.3 Déployer un bloqueur de publicités (Internet Explorer) 11 3.4 Déployer un bloqueur de publicités (Firefox) 13 3.5 Désactiver les plugins à risque (Internet Explorer) 15 3.6 Bloquer les extensions de fichiers à risque dans les pièces jointes 18 4 À propos d Intrinsec 19 5 Références et remerciements 20 Le présent document est une production du CERT-Intrinsec, et est la propriété exclusive d Intrinsec Sécurité S.A.S. Les contenus cités restent la propriété de leurs auteurs respectifs, Intrinsec Sécurité s'étant assuré avoir les droits de les réutiliser dans le présent document. Les éléments créés par Intrinsec Sécurité sont diffusés sous licence Creative Commons-Non Commercial-Attribution-Share-Alike version 4 : toute utilisation (hors fins commerciales), modification ou distribution sont autorisées, sous réserve que le présent document, ses versions modifiées ou l œuvre dérivée soient soumis aux mêmes conditions de licence, et qu Intrinsec Sécurité soit expressément citée en tant que source. Suivi des modifications : Version Date Action Auteur 1 26/05/2016 Création du document Luc ROUDÉ Intrinsec Sécurité Licence : CC-BY-SA-NC Page 2

1 INTRODUCTION Les campagnes de rançongiciels (ransomwares) prolifèrent depuis le début de l année 2016. Si leur quantité se multiplie, le mode opératoire reste généralement le même : une charge malveillante est envoyée par e-mail ou placée sur un site Web compromis, accompagnée d éléments de phishing pour amener l utilisateur à exécuter le virus. Les ransomwares ont un rapport particulier aux mesures de protection traditionnelles : la fréquence des campagnes réduit les chances de détection par un antivirus, et les charges malveillantes ne cherchent pas à exploiter des vulnérabilités ou à se répliquer sur le réseau. Ils manipulent simplement des fichiers accessibles de manière légitime à l utilisateur touché. Si la lutte contre ce type de menace doit s inscrire dans un dispositif structuré organisationnel et technique, il est possible d appliquer des mesures préventives ayant un très faible impact sur le système d information et apportant une augmentation significative du niveau de protection. Dates d apparition de nouvelles familles de ransomwares (source : Symantec, Internet Security Threat Report, avril 2016) Portée et limites Les mesures présentées dans ce document sont choisies pour être applicables à très court terme et enrayer les mécanismes de propagation habituels des ransomwares. Elles n ont pas vocation à remplacer une démarche globale de défense du S.I., qui doit couvrir entre autres les points suivants : Sauvegarde des informations du S.I. et tests réguliers de restauration ; Supervision de la sécurité du système d information et procédures d alerting ; Sensibilisation des utilisateurs ; Protection des terminaux (ex. gestion des correctifs, antivirus, privilèges utilisateurs). Intrinsec Sécurité Licence : CC-BY-SA-NC Page 3

2 PERIMETRE D APPLICATION Ce document se concentre sur les environnements fréquemment présents en entreprise : Infrastructure Active Directory ; Postes de travail Windows ; Suite bureautique Office. Il est destiné à offrir des leviers rapides d actions aux équipes d exploitation du S.I. Chacune des mesures présentées résume les actions à entreprendre et les impacts qui pourraient apparaître. Les solutions proposées sont pensées pour provoquer très peu d effets indésirables, de manière générale. Ils peuvent toutefois être amplifiés par un contexte particulier. Dans tous les cas, nous recommandons d appliquer les mesures dans une démarche de conduite du changement : réflexion amont, phase pilote initiale sur un périmètre limité, puis déploiement graduel jusqu à couvrir l ensemble du périmètre. Vous pouvez solliciter le CERT Intrinsec en cas de besoin d assistance préventive ou curative 01 47 28 38 39 - cert@intrinsec.com Intrinsec Sécurité Licence : CC-BY-SA-NC Page 4

3 MESURES 3.1 LIMITER L EXECUTION DES MACROS OFFICE Implémentation Installation de modèles d administration (fichiers ADMX) Déploiement par stratégie de groupe Effets secondaires possibles Perturbations d utilisation des outils si des macros légitimes sont employées en interne Raisonnement De nombreux ransomwares sont propagés par l intermédiaire de documents Office infectés. Le contenu affiché est un faux message d erreur incitant l utilisateur à activer les macros, qui se lancent ensuite automatiquement et exécutent la charge malveillante. Exemple de document piégé Durcir les paramètres d exécution des macros permet de retirer complètement à l utilisateur la possibilité d activer les macros dans ces documents malveillants et empêche le malware de se lancer. Il est ensuite possible de définir des emplacements de confiance où l exécution des macros est autorisée, afin de ne pas perturber l utilisation des outils légitimes de l entreprise. Réalisation Afin d appliquer les paramètres par stratégie de groupe, il est nécessaire d utiliser les modèles d administration Office. Les étapes ci-dessous s appuient sur l utilisation du Magasin Central pour les modèles d administration. Les exemples montrés cidessous supposent que les commandes sont exécutées depuis un Contrôleur de Domaine, mais il est tout à fait possible de réaliser les opérations depuis un poste d administration ayant accès en lecture/écriture au partage SYSVOL. Préparation du magasin central (s il n est pas déjà utilisé) Localiser le dossier SYSVOL : exécuter net share depuis une invite de commandes Par défaut : C:\Windows\SYSVOL\sysvol Créer un dossier «PolicyDefinitions» dans le dossier «SYSVOL\Policies» Par défaut : C:\Windows\SYSVOL\sysvol\<domaine>\Policies Copier les modèles d administration du système local dans le magasin central Intrinsec Sécurité Licence : CC-BY-SA-NC Page 5

Exemple : robocopy /s /R:5 /W:1 "C:\Windows\PolicyDefinitions" "C:\Windows\SYSVOL\sysvol\<domaine>\Policies\PolicyDefinitions" Installation des modèles d administration Télécharger les modèles d administration chaque version d Office possède des modèles différents : Office 2010 : https://www.microsoft.com/en-us/download/details.aspx?id=18968 Office 2013 : https://www.microsoft.com/en-us/download/details.aspx?id=35554 Office 2016 : https://www.microsoft.com/en-us/download/details.aspx?id=49030 Choisir le fichier [...]_64.exe ou [...]_32.exe selon la version d Office déployée Lancer le programme pour extraire les fichiers vers un dossier temporaire quelconque. Trois dossiers «ADM», «Admin» et «ADMX» sont créés Ouvrir le dossier ADMX. Supprimer tous les dossiers de langue pour conserver uniquement ceux qui seront utilisés dans l environnement Active Directory (ex. en-us, fr-fr) Copier les modèles d administration Office depuis le répertoire temporaire vers le magasin central Exemple pour Office 2010 : robocopy /s /R:5 /W:1 "C:\<temp\path>\ADMX" "\\<contrôleur de domaine>\sysvol\<domaine>\policies\policydefinitions" word14.* ppt14.* excel14.* Les modèles d administration sont ensuite automatiquement pris en compte par le gestionnaire de stratégie de groupe (gpmc.msc). Les paramètres Office sont alors accessibles lors de la modification d une stratégie, dans la partie «Configuration utilisateur > Stratégies > Modèles d administration [ ]» : Intrinsec Sécurité Licence : CC-BY-SA-NC Page 6

A partir des modèles d administration, appliquer les paramètres décrits ci-dessous. Les étapes prennent Word 2010 pour exemple, mais ces options existent pour Excel et Powerpoint. Nous recommandons d appliquer la démarche à tous les produits Office : Etape 1 désactivation des macros Le paramètre à éditer se situe dans l arborescence «Microsoft Word 2010 > Options Word > Sécurité > Centre de gestion de la confidentialité» : «Paramètres de notification de macro VBA» Activer le paramètre, avec l option «Désactiver tout sauf les macros signées numériquement» Etape 2 définition d emplacements approuvés Les emplacements approuvés sont des répertoires dans lesquels les restrictions sur les macros de s appliquent pas Les paramètres à éditer se situent dans l arborescence «Microsoft Word 2010 > Options Word > Sécurité > Centre de gestion de la confidentialité > Emplacements approuvés», qui présente les éléments suivants : Chaque emplacement approuvé présente les options suivantes : Les champs «Date» et «Description» sont optionnels. Le «Chemin d accès» peut s appliquer aux disques locaux comme aux lecteurs réseaux (par exemple, si un partage réseau est monté comme lecteur «F:\» sur les postes de travail, le champ «Chemin d accès» peut être rempli avec la valeur «F:\»). Cocher la case «Autoriser les sous-dossier» selon les besoins. Note : si des lecteurs réseaux sont présents dans la liste d emplacements approuvés, il sera nécessaire d activer le paramètre «Autoriser les emplacements approuvés sur le réseau» pour qu ils soient pris en compte. Attention : les documents ouverts depuis des emplacements approuvés n appliquent aucune restriction sur l exécution des macros ; il est nécessaire de vérifier qu il s agit de dossiers de confiance. Nous recommandons d apporter une attention particulière aux dossiers temporaires. Par exemple, les pièces jointes ouvertes depuis Outlook sont placées dans le dossier ci-dessous : <répertoire utilisateur>\appdata\local\microsoft\windows\temporary Internet Files\Content.Outlook Des dossiers similaires sont utilisés pour les fichiers directement ouverts depuis les navigateurs Web ; il est donc important que les répertoires utilisateurs ne se soient pas dans la liste des emplacements approuvés. Intrinsec Sécurité Licence : CC-BY-SA-NC Page 7

Option supplémentaire dans Office 2016 : Microsoft a implémenté une nouvelle option dans les modèles d administration de la suite Office 2016 permettant de désactiver complètement les macros des fichiers téléchargés depuis un navigateur Web ou provenant de pièces jointes. Les paramètres sont accessibles lors de la modification d une stratégie, dans la partie «Configuration utilisateur > Stratégies > Modèles d administration [ ]» : Pour Word, le paramètre à éditer se situe dans l arborescence «Microsoft Word 2016 > Options Word > Sécurité > Centre de gestion de la confidentialité» : «Bloquer l exécution des macros dans les fichiers Office provenant d Internet» Ce paramètre à l avantage de minimiser les risques d effets de bord : les macros peuvent être autorisées dans les documents utilisés en interne, et complètement désactivées pour tous ceux distribués par e-mails ou sites Web. Intrinsec Sécurité Licence : CC-BY-SA-NC Page 8

3.2 EMPECHER L EXECUTION AUTOMATIQUE DES FICHIERS DE SCRIPT (.JS, ETC.) Implémentation Modification du programme par défaut des fichiers de scripts Déploiement par stratégie de groupe Effets secondaires possibles Perturbation d exécution de scripts légitimes Raisonnement Certaines campagnes de ransowmares distribuent des fichiers.js malveillants. Ces fichiers peuvent avoir les mêmes actions malveillantes que d autres formats exécutables plus connus (.exe,.bat, etc.) : Exemple de fichier JavaScript embarqué dans une archive ZIP (CERT-Intrinsec) Ce mode d infection fonctionne car le moteur de script Windows (wscript.exe) est associé par défaut aux extensions de fichiers «scripts». Remplacer wscript.exe par notepad.exe comme programme par défaut associé aux fichiers de script permet d empêcher l exécution du malware. Réalisation Créer une stratégie de groupe pour modifier les paramètres «Options des dossiers» de la configuration utilisateur : Ajouter un nouvel élément «Ouvrir avec» possédant les propriétés suivantes : Action : Mettre à jour Extension : js Programme associé : %windir%\system32\notepad.exe Cocher la case «par défaut» Les fichiers.js ne seront désormais plus exécutés, mais ouverts par le Bloc Notes, lors d un double-clic sur le fichier. Intrinsec Sécurité Licence : CC-BY-SA-NC Page 9

Pour aller plus loin identification et blocage d exécution de types de fichiers complémentaires Les ransomwares ne se limitent pas à l utilisation de fichiers.js comme vecteur d infection. Certaines variantes utilisent par exemple des fichiers.hta fichiers HTML qui peuvent inclure du code qui sera exécuté de la même manière par le moteur de script Windows. Nous recommandons d appliquer aussi le traitement précédent à cette extension. Il est également possible d identifier toutes les extensions de fichiers qui sont associées au programme au moteur de script (wscript.exe). Depuis un de poste de travail type, exécuter la commande suivante dans une invite de commandes : for /F "tokens=1 delims=^=" %a in ('ftype ^ findstr /I wscript') DO @assoc findstr /I %a Exemple de sortie :.js=jsfile.vbe=vbefile.vbs=vbsfile [...] Toutes les extensions listées par la commande peuvent être utilisées pour exécuter du code malveillant ; remplacer leur programme par défaut pourra réduire le risque d infection. Attention, certains types de fichiers (notamment.vbs) ont des cas d utilisation légitime très fréquents ; il est important d étudier l impact des modifications avant d appliquer ces paramètres massivement. Intrinsec Sécurité Licence : CC-BY-SA-NC Page 10

3.3 DEPLOYER UN BLOQUEUR DE PUBLICITES (INTERNET EXPLORER) Implémentation Création d une configuration de blocage de publicités Déploiement par stratégie de groupe Effets secondaires possibles Problèmes d affichage de pages légitimes Raisonnement Les ransomwares peuvent être distribués par malvertising ; c est-à-dire des régies de publicités compromises et diffusant du code malveillant sur des sites normaux et reconnus. De cette manière, un site Web légitime peut être amené à diffuser du malware. Déployer des bloqueurs de publicités à l échelle de l entreprise permet d éviter ce type d attaque. Réalisation Les étapes détaillées ici sont la traduction d un article publié initialement en anglais à l adresse suivante : http://decentsecurity.com/enterprise/#/adblocking-for-internet-explorer-deployment/ Créer une stratégie de groupe pour modifier les paramètres du registre de l utilisateur : Créer les éléments de registre suivants, avec Action : «Mettre à jour» et en spécifiant systématiquement Appliquer une fois et ne pas réappliquer dans l onglet «Commun» des propriétés HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\PrivacIE Nom de valeur : FilteringMode Type de valeur : REG_DWORD Données de valeur : 0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\PrivacIE\Lists\{7C998372-3B89-46E6-9546- 1945C711CD0C} Nom de valeur : Enabled Type de valeur : REG_DWORD Données de valeur : 1 Intrinsec Sécurité Licence : CC-BY-SA-NC Page 11

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\PrivacIE\Lists\{7C998372-3B89-46E6-9546- 1945C711CD0C} Nom de valeur : Name Type de valeur : REG_SZ Données de valeur : EasyList HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\PrivacIE\Lists\{7C998372-3B89-46E6-9546- 1945C711CD0C} Nom de valeur : Path Type de valeur : REG_SZ Données de valeur : %AppDataDir%\Local\Microsoft\Internet Explorer\Tracking Protection\{7C998372-3B89-46E6-9546-1945C711CD0C}.tpl HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\PrivacIE\Lists\{7C998372-3B89-46E6-9546- 1945C711CD0C} Nom de valeur : Url Type de valeur : REG_SZ Données de valeur : https://easylist-msie.adblockplus.org/liste_fr+easylist.tpl La liste de blocage sera téléchargée et appliquée automatiquement au prochain démarrage d Internet Explorer, sans action nécessaire de la part de l utilisateur. Intrinsec Sécurité Licence : CC-BY-SA-NC Page 12

3.4 DEPLOYER UN BLOQUEUR DE PUBLICITES (FIREFOX) Implémentation Création d une configuration de blocage de publicités Déploiement par stratégie de groupe Effets secondaires possibles Problèmes d affichage de pages légitimes Raisonnement Les ransomwares peuvent être distribués par malvertising ; c est-à-dire des régies de publicités compromises et diffusant du code malveillant sur des sites normaux et reconnus. De cette manière, un site Web légitime peut être amené à diffuser du malware. Déployer des bloqueurs de publicités à l échelle de l entreprise permet d éviter ce type d attaque. Réalisation Les étapes détaillées ici sont la traduction d un article publié initialement en anglais à l adresse suivante : http://decentsecurity.com/enterprise/#/ublock-for-firefox-deployment/ La mise en place d un bloqueur de publicités à l échelle de l entreprise avec Firefox passe par deux éléments : L extension CCK2 qui permet de gérer des profils de configuration ; L extension ublock Origin pour le blocage effectif des publicités. Préparation de l environnement (à réaliser depuis un poste de travail type «master») : Obtenir l URL d installation de l extension ublock Origin Depuis Firefox, naviguer vers https://addons.mozilla.org/en-us/firefox/addon/ublock-origin/ Copier l adresse du lien «Ajouter à Firefox» Le lien doit avoir le format suivant : https://addons.mozilla.org/firefox/downloads/latest/607454/addon-607454-latest.xpi?src=dp-btn-primary Conserver la chaîne de caractères à gauche du symbole «?», elle sera utilisée dans la suite Exemple avec l URL précédente : https://addons.mozilla.org/firefox/downloads/latest/607454/addon-607454-latest.xpi Créer un profil CCK2 Depuis Firefox, installer CCK2 depuis l URL suivante : https://mike.kaply.com/cck2/ Depuis Firefox, accéder à l interface CCK2 (icône ) Cliquer sur le bouton «New» pour créer un nouveau profil, remplir les champs «Name» et «Identifier» à loisir Aller à la page «About», remplir «Description» et «Version» à loisir. Dans le champ «Output Directory», créer un dossier à un emplacement quelconque Aller à la page «Add-ons», cliquer sur «Add URL» et renseigner l URL ublock Origin obtenue précédemment Intrinsec Sécurité Licence : CC-BY-SA-NC Page 13

Pour reprendre l exemple : https://addons.mozilla.org/[...]-607454-latest.xpi Aller à la page «Finish», puis cliquer sur «use Autoconfig» Ouvrir le dossier choisi dans «Output Directory». Un sous-dossier «firefox» a été généré, contenant un dossier «cck2», un dossier «defaults» et un fichier cck2.cfg Publier les fichiers de configuration Copier les fichiers et répertoires «cck2», «defaults» et «cck2.cfg» mentionnés ci-dessus dans un partage réseau accessible au groupe «Utilisateurs authentifiés» Déploiement des configurations Créer une stratégie de groupe pour modifier les préférences «fichiers» de l ordinateur : Créer les éléments «Fichier» suivants, avec pour Action : «Remplacer» et en spécifiant systématiquement Appliquer une fois et ne pas réappliquer dans l onglet «Commun» des propriétés Source : \\<chemin vers le partage>\*.* Destination : %ProgramFiles(x86)%\Mozilla Firefox Source : \\<chemin vers le partage>\cck2\*.* Destination : %ProgramFiles(x86)%\Mozilla Firefox\cck2 Source : \\<chemin vers le partage>\cck2\modules\*.* Destination : %ProgramFiles(x86)%\Mozilla Firefox\cck2\modules Source : \\<chemin vers le partage>\defaults\pref\*.* Destination : %ProgramFiles(x86)%\Mozilla Firefox\defaults\pref Ci-dessous, un exemple de la configuration résultante : L extension ublock Origin sera intégrée automatiquement au prochain démarrage de Firefox, sans action requise de la part de l utilisateur. Intrinsec Sécurité Licence : CC-BY-SA-NC Page 14

3.5 DESACTIVER LES PLUGINS A RISQUE (INTERNET EXPLORER) Implémentation Identification des plugins à risque utilisés par le navigateur Paramétrage de la limitation d exécution Déploiement par stratégie de groupe Effets secondaires possibles Problèmes de compatibilité avec les pages Web nécessitant les plugins Raisonnement Les ransomwares peuvent être distribués par l intermédiaire d exploit kits. Il s agit de «packages» malveillants déployés sur des sites compromis, souvent légitimes et reconnus, qui tentent principalement d exploiter des vulnérabilités dans les plugins des navigateurs des visiteurs pour exécuter une charge malveillante. Empêcher l exécution automatique des plugins permet de limiter ce risque. Réalisation Il est possible de configurer Internet Explorer pour que les modules complémentaires adoptent un comportement «click-to-play», c est-à-dire d empêcher leur exécution sans interaction directe de l utilisateur, ou de les désactiver complètement. Identifier les plugins Dans un premier temps, lister les plugins installés dans le navigateur. Depuis Internet Explorer, suivre les menus «Gérer les modules complémentaires d Internet Explorer», «Barres d outils et extensions» avec l option «Afficher» paramétrée à «Tous les modules complémentaires». Les cibles privilégiées par les exploit kits sont généralement Flash et Java. Pour chaque plugin nécessitant des restrictions, double-cliquer sur son nom pour afficher ses propriétés, et noter son ID de classe (CLSID) : Ce CLSID peut ensuite être intégré à des stratégies pour modifier le comportement du plugin : Désactiver complètement le plugin Depuis l interface de création d une stratégie de groupe, suivre cette arborescence : «Configuration Utilisateur > Modèles d administration > Composantes Windows > Internet Explorer > Fonctionnalités de sécurité > Gestion des modules complémentaires» Intrinsec Sécurité Licence : CC-BY-SA-NC Page 15

Modifier le paramètre «Liste des modules complémentaires» Activer le paramètre, afficher la liste des modules à contrôler puis renseigner le CLSID du module souhaité dans la liste et l associer à la valeur «0», comme indiqué ci-dessous : Passer le plugin en mode «click-to-play» Ajouter une clé HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CLSID}\iexplore\AllowedDomains passe le module associé au CLSID renseigné en mode «click-to-play» pour tous les sites. Ajouter des sous-clés dans «AllowedDomains» permet de définir des domaines pour lesquels le plugin s exécutera sans demander à l utilisateur, par exemple pour les sites internes dont le fonctionnement nécessite les plugins. En détail : Créer une stratégie de groupe pour modifier les paramètres du registre de l utilisateur : Créer les éléments de registre suivants, avec Action : «Mettre à jour» et en spécifiant systématiquement Appliquer une fois et ne pas réappliquer dans l onglet «Commun» des propriétés HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\<CLSID>\iexplore\AllowedDomains Nom de valeur : laisser vide Intrinsec Sécurité Licence : CC-BY-SA-NC Page 16

Pour chaque domaine devant être ajouté à la liste blanche : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\<CLSID>\iexplore\AllowedDomains\< domain.tld> Nom de valeur : laisser vide Par exemple, l application du mode click-to-play à Flash (CLSID {D27CDB6E-AE6D-11CF-96B8-444553540000}), avec «exemple1.tld» et «exemple2.tld» définis comme exceptions où le plugin s exécutera sans restriction donnera les clés de registre suivantes : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\AllowedDomains HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\AllowedDomains\exemple1.tld HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\AllowedDomains\exemple2.tld En choisissant le mode «désactiver complètement», le navigateur bloquera toute exécution du plugin défini. En choisissant le mode «passer en mode click-to-play», le navigateur notifiera l utilisateur si un site demande l exécution du plugin. Intrinsec Sécurité Licence : CC-BY-SA-NC Page 17

3.6 BLOQUER LES EXTENSIONS DE FICHIERS A RISQUE DANS LES PIECES JOINTES Implémentation Blocage par liste noire d extensions à risque au niveau de la plateforme e-mail Effets secondaires possibles Blocage de pièces jointes légitimes Raisonnement Les ransomwares sont largement diffusés en tant que pièces jointes au cours de campagnes de phishing par e-mail. Bloquer certaines extensions fréquemment utilisées par les malwares permet de limiter leur diffusion au sein de l entreprise. Réalisation Configurer la plate-forme e-mail entrante pour supprimer les pièces jointes lorsqu elles ont les extensions suivantes :.bat,.chm,.cmd,.com,.exe,.hta,.js,.jse,.lnk,.pif,.ps1,.scr,.vb,.vbe,.vbs,.ws,.wsc,.wsf,.wsh Appliquer également l interdiction de ces extensions dans les archives (par exemple :.zip,.rar,.cab) Pour aller plus loin extensions complémentaires La liste noire d extensions présentées ci-dessus correspond aux motifs malveillants fréquemment rencontrés. De nombreux autres types de fichiers peuvent être utilisés à des fins malveillantes. Nous recommandons d étudier la possibilité de bloquer les extensions suivantes :.ade,.adp,.cpl,.ins,.isp,.jar,.lib,.mde,.msc,.msp,.mst,.sct,.shb,.sys,.vxd Intrinsec Sécurité Licence : CC-BY-SA-NC Page 18

4 À PROPOS D INTRINSEC Intrinsec est une société spécialisée en cybersécurité, appartenant au groupe Neurones, et proposant des services d accompagnement et d expertise autour de tous les enjeux de la sécurité de l information : protection du patrimoine informationnel et de l image de marque, continuité d activité, lutte contre la cybercriminalité et cyberdéfense. Labélisée par l ANSSI pour ses activités d audit, Intrinsec est un acteur de confiance appuyant son positionnement sur l expertise et le développement d une relation partenariale avec ses clients. Quatre pôles d activités sont développés au sein de la structure : Évaluation de la sécurité (test d intrusion & audit de sécurité) Maîtrise des risques numériques (accompagnement RSSI, management SSI & sensibilisation) Services managés (services de détection des incidents, réponse aux incidents, cyber threat intelligence) Innovation CONTACT@INTRINSEC.COM 01 41 91 77 77 WWW.INTRINSEC.COM @INTRINSEC Intrinsec Sécurité Licence : CC-BY-SA-NC Page 19

5 REFERENCES ET REMERCIEMENTS Un grand merci à l auteure du site Decent Security qui nous a autorisés à traduire et intégrer ici les guides de déploiement de bloqueurs de publicités : http://decentsecurity.com/enterprise/ Source de l image «document Word avec macro» : https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/ Utilisation du Magasin Central pour les modèles d administration : https://support.microsoft.com/en-us/kb/3087759 Intrinsec Sécurité Licence : CC-BY-SA-NC Page 20

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back