Conficker : Point au 22 janvier

  • Article

Les informations concernant le ver Conficker ont été centralisées dans un article :

Centralized Information About The Conficker Worm

Rappelons que la priorité reste l’installation immédiate de MS08-067 sur tous les systèmes.

[mise à jour 23/1 soir] Cependant, MS08-067 n’est qu’un des moyens de propagation utilisés par ce ver et une attention particulière doit être apportée sur les points ci-dessous. Ceux-ci sont détaillés dans l’article précédent, ainsi que dans ces articles en français, et dans l’article 962007 de la KB (anglais, français).

  • Les mots de passe administrateurs doivent être vérifiés et le cas échéant changés. En effet de nombreux clients sont concernés par les attaques de dictionnaire de ce ver, utilisant des mots de passe triviaux.
  • La politique de verrouillage des comptes doit être oubliée au profit d’une politique de mots de passe complexes. De nombreux clients utilisent, contre nos recommandations, des politiques de verrouillage de comptes, et retrouvent la plupart des comptes de leur AD verrouillés à cause des tentatives d’attaques par dictionnaire de la part du ver.
  • L’exécution automatique (autorun) doit être désactivée sur tous les systèmes.
  • Sur un système compromis, NE PAS OUVRIR UNE SESSION LOCALE AVEC UN COMPTE DU DOMAINE, ET SURTOUT PAS UN ADMINISTRATEUR DU DOMAINE. En effet, le ver est capable, par une technique de vol de jeton, de prendre cette identité et attaquer le réseau entier. Le risque est identique si un compte local a le même nom et le même mot de passe qu’un compte du domaine. Utiliser un compte local qui n’a pas d’équivalent dans le domaine.