Depuis sa sortie en octobre 2021, les utilisateurs vérifient les mises à jour et attendent impatiemment la mise à niveau. Les exigences de Microsoft sont plus strictes que d’habitude, et le déploiement de la fonctionnalité arrive donc par épisodes. Les utilisateurs actuels de Windows 10 peuvent le télécharger gratuitement. Pour les autres, il y a quelques vérifications de compatibilité avant la mise à niveau.
Un beau matin de janvier, après quatre mois d’attente patiente des utilisateurs, la phase de large déploiement de Windows 11 pour les appareils éligibles a été annoncée. À peine cette annonce a-t-elle été faite qu’un afflux de trafic s’est produit, les utilisateurs prenant d’assaut l’internet, se demandant si leurs terminaux étaient compatibles. Comme pour rassasier leurs esprits curieux et affamés, des publicités pour la mise à jour de Windows sont apparues sur les médias sociaux, demandant aux utilisateurs de cliquer et de télécharger la mise à jour. Ils étaient loin de se douter que ce qu’ils installaient était un malware déguisé.
Le malware était déguisé en un faux programme d’installation de mise à niveau de Windows 11, incitant les utilisateurs à le télécharger et à l’exécuter. HP a indiqué que le malware était hébergé à partir de “windows-upgraded.com” pour tromper habilement les yeux des utilisateurs.Lorsqu’ils cliquent sur l’option “Télécharger maintenant”, ils reçoivent un fichier ZIP de 1,5 Mo nommé “Windows11InstallationAssistant.zip”.
Le fichier a pu être décompressé, grâce au remplissage de l’exécutable, ce qui a donné un dossier de 753 Mo avec un taux de compression de 99,8%. Lorsqu’un utilisateur essayait d’exécuter le programme, un processus PowerShell avec un argument codé démarrait, puis un cmd.exe démarrait, avec un délai d’attente de 21 secondes. Une fois le délai expiré, win11.jpg est téléchargé à partir du serveur Web distant.
Pour éviter la détection et l’analyse, le contenu de cette bibliothèque de liens dynamiques (DLL) a été inversé. Dans le processus initial, cette DLL était chargée et s’exécutait elle-même. Elle s’est à nouveau substituée à la DLL téléchargée dans le contexte du thread actuel. Pour recevoir d’autres instructions, elle a ouvert une connexion TCP vers un serveur configuré et connecté, en l’occurrence 45.146.166[.]38:2715. Il s’agit de RedLine Stealer, qui, une fois déployé, vole tous les mots de passe de remplissage automatique, les cookies du navigateur et les informations des cartes de crédit et des portefeuilles de crypto-monnaies.
La cause première de toute attaque de logiciels malveillants peut être attribuée à deux choses principales : la négligence du côté des administrateurs et l’ignorance du côté des utilisateurs. Pourquoi la négligence ? Les administrateurs, en raison de leur énorme charge de travail, oublient parfois de vérifier les mises à jour des versions. Ils sont toujours retenus par des tickets. Ils ne peuvent pas non plus se déplacer sans cesse d’un terminal à l’autre pour vérifier si les systèmes d’exploitation sont à jour.
Il y a aussi les utilisateurs ignorants qui ne réfléchissent jamais à deux fois avant de cliquer sur les mises à jour ou sur le clickbait. Ils n’ont aucune idée des autorisations qu’ils accordent aux applications qu’ils installent (ou, dans le cas d’une menace interne, un utilisateur malveillant cherchant à nuire à son organisation pourrait installer délibérément un malware et feindre l’ignorance).
Prenons le cas de Tencent, par exemple. Beaucoup d’entre nous ont probablement installé une application ou un jeu Tencent à un moment donné. Nous ne savions pas quelles autorisations ils demandaient, mais nous les avons simplement autorisées. Les applications ont ensuite recueilli des informations sensibles sur nous, qui ont été exploitées, constituant des menaces majeures pour les particuliers et les gouvernements.
En un clin d’œil, votre organisation est condamnée à perdre de l’argent si ses données tombent entre les mains des pirates, ce qui peut également entraîner une interruption des activités. Lorsque vous réagissez à la violation de données, en essayant de rattraper tout ce qui a été perdu, le mal est déjà fait. La réputation de votre organisation est ternie, et la bonne volonté de vos clients est diminuée.
Dans une organisation étendue, comment s’assurer que les utilisateurs ne téléchargent pas un faux programme d’installation de Windows 11 ? Dans les scénarios de retour au bureau, comment vous assurer que tous les terminaux sont conformes ? Dans le cas d’une organisation internationale fonctionnant 24/24 et 7/7, comment déployer les mises à jour logicielles sans perturber l’activité?
Selon le rapport Cost of a Data Breach Report 2021 d’IBM, la complexité des systèmes et les défaillances de conformité sont les principaux facteurs d’augmentation des coûts liés aux violations de données. Passer au cloud ou numériser votre organisation ne suffit pas. Ce qui est plus important, c’est la façon dont vous vous occupez des terminaux, en vérifiant les plus petites choses, comme une mise à jour.
Ce que vous devez prendre en compte
- Le déploiement de logiciels et la gestion des applications sont des tâches routinières et banales. Pour les organisations de toutes tailles, l’automatisation est essentielle. Les humains font des oublis, mais pas l’IA. Vous pouvez donc déployer des logiciels et faire confiance à l’IA pour finir le travail. ManageEngine propose de nombreuses solutions qui répondent à ces besoins. Assurez-vous d’investir dans une solution automatisée qui déploie les applications rapidement et, surtout, qui est sécurisée.
- Sélectionnez un outil qui propose des mises à jour automatiques. Ainsi, vous n’aurez pas à les vérifier régulièrement et vous n’en manquerez aucune.
- Lorsque vous n’êtes pas sûr des besoins de vos utilisateurs, choisissez un produit doté d’une fonction de portail en libre-service.
- Lorsqu’il s’agit d’un scénario de production en temps réel où la bande passante est faible, envisagez de déployer des logiciels groupés avec des systèmes d’exploitation.
- En ce qui concerne l’intégration, regroupez les logiciels et les applications de base et déployez-les à l’arrivée d’un nouvel employé.
Si vous avez des difficultés à déployer des logiciels ou à gérer des applications, consultez Desktop Central, notre solution complète de gestion des terminaux.
Source : Are you ready for Windows 11?
