IOT et industrie : Non pris en charge, non corrigé: nouveaux trous de sécurité Windows

Cloud Watch
De nombreuses générations d'anciens systèmes Windows sont encore largement utilisées dans les installations industrielles Internet des objets (IIoT) et les systèmes de contrôle industriel (ICS). Le fait que Windows 7 soit arrivé en fin de vie le mois dernier n'élargit que les surfaces d'attaque déjà vulnérables des réseaux IIoT et ICS et offre aux pirates encore plus de possibilités de les infecter par des logiciels malveillants et de perturber les opérations.
Ils ont déjà commencé. Plus tôt ce mois-ci, TrapX Security a trouvé une nouvelle campagne de logiciels malveillants ciblant les appareils IoT exécutant Windows 7 intégré sur plusieurs sites de fabrication mondiaux. Le malware utilise un téléchargeur à propagation automatique pour exécuter des scripts malveillants. Ceux-ci peuvent interférer avec le fonctionnement des appareils ciblés tels que les véhicules guidés automatisés, les rendant défectueux et causant des dommages. Le rapport TrapX a déclaré que la campagne était basée sur le mineur de crypto-monnaie Lemon_Duck PowerShell, découvert dans les réseaux d'entreprise en octobre dernier. Les appareils IoT de tiers déjà infectés peuvent facilement entrer dans un réseau de technologie opérationnelle (OT) sans être détectés.
Ces vulnérabilités ne sont pas un petit problème. Selon le rapport Global 2020 ICS et IIoT Risk Report de la société de sécurité OT CyberX, les systèmes d'exploitation Windows non pris en charge, non corrigés et non protégés, y compris Windows XP, 2000 et 7, représentent désormais 71% des sites examinés. Le rapport a analysé le trafic réel de plus de 1 800 réseaux IIoT / ICS de production dans plusieurs secteurs, notamment les services publics d'énergie, le pétrole et le gaz, la fabrication, les produits pharmaceutiques et les produits chimiques.
Outre les anciens logiciels malveillants comme WannaCry et NotPetya, de nouvelles vulnérabilités Windows comme BlueKeep et DejaBlue continuent d'être découvertes dans les anciens systèmes Windows, a déclaré Phil Neray, vice-président de la cybersécurité industrielle pour CyberX. Ceux-ci peuvent donner aux attaquants un contrôle complet sur un système.
Bien que certaines mesures semblent s'être améliorées par rapport à l'année dernière dans le rapport Global ICS et IIoT sur les risques 2020 de CyberX, cette amélioration est due à un pourcentage beaucoup plus élevé de services publics d'énergie et de sites pétroliers et gaziers dans l'échantillon de données de cette année. Ces entreprises ont généralement des restrictions beaucoup plus strictes que d'autres industries telles que la fabrication. (Source: CyberX)
«L'une des vulnérabilités récemment découvertes était similaire à celle utilisée dans Stuxnet et impliquait une fonctionnalité d'extension de fichier LNK dans Microsoft», a-t-il déclaré. «Cela donne à quiconque branche une clé USB – souvent utilisée pour la mise à jour des systèmes Windows – un contrôle complet sur ces machines. Il peut s'agir d'un attaquant ou simplement d'un entrepreneur non malveillant effectuant la maintenance avec une clé USB qui contient par inadvertance des logiciels malveillants. »
Bien que les conseils standard soient mis à niveau vers la dernière version, cela n'est pas toujours possible dans les environnements OT. D'une part, de nouvelles vulnérabilités dans plusieurs systèmes d'exploitation Windows, y compris les versions prises en charge, continuent d'être découvertes.

conseillé
Qui est responsable des violations de données dans le cloud?

Le mois dernier, par exemple, la National Security Agency a jugé nécessaire d'informer Microsoft, en public, que «Windows 10 a un défaut de sécurité si grave que la NSA l'a divulgué», comme le disait le titre de Wired. Cette vulnérabilité d'usurpation critique dans les clients Windows 10 et les serveurs 2016/2019 se trouve dans le logiciel même qui valide les certificats de confiance. Il pourrait être utilisé pour truquer un certificat de malware exécutable ou pour décrypter des informations confidentielles.
Dans les environnements OT industriels, la mise à jour d'un système d'exploitation est beaucoup plus perturbatrice qu'elle ne l'est même du côté informatique. Ici, les systèmes Windows sont largement utilisés soit comme postes de travail pour le personnel de l'usine surveillant les processus de fabrication, soit comme postes de travail d'ingénierie pour déployer du code nouveau ou mis à jour dans les API. «Une fois que ces machines sont installées dans un environnement industriel et que l'usine fonctionne 24h / 24 et 7j / 7, il est difficile de justifier la mise à niveau vers une nouvelle version de Windows: les systèmes ont été testés, ils fonctionnent tous ensemble, et cela nécessiterait des temps d'arrêt et beaucoup d'efforts pour tout arrêter pour ces mises à niveau », a déclaré Neray.
Bien que les principaux fournisseurs d'antivirus aient déclaré qu'ils continueraient à prendre en charge Windows 7 pendant deux ans, cela ne fait que retarder le problème. En plus des anciens systèmes Windows non pris en charge et non corrigés, un manque de logiciel antivirus est une autre raison pour laquelle les anciennes versions de logiciels malveillants sont toujours rencontrées. Le rapport CyberX a révélé que les deux tiers des sites ICS / IIoT analysés ne mettent pas automatiquement à jour les systèmes Windows avec les dernières définitions antivirus.
Les fonctions des logiciels antivirus peuvent être incompatibles avec les systèmes en temps réel utilisés dans ICS, mais certains logiciels antivirus et logiciels anti-malware sont désormais approuvés pour fonctionner sur ICS, a déclaré Neray. «De plus, la liste blanche des applications, qui peut être difficile à gérer dans un environnement d'entreprise, est un excellent moyen de protéger un système Windows dans un environnement industriel, où ce que vous installez doit être strictement contrôlé.»
Le rapport comprend des suggestions pour atténuer les risques de cybersécurité dans les environnements IIoT et ICS – un processus en sept étapes basé sur les recommandations de l'Idaho National Laboratory et du NIST Cybersecurity Framework, deux autorités reconnues en matière de cybersécurité ICS.
– Ann Thryft écrit la colonne «Cloud Watch» pour EE Times.

Laisser un commentaire