• [^] # Re: Compléments

    Posté par . En réponse au journal Après WannaCry, un 2e ransomware utilisant une cyberarme volée à la NSA ?. Évalué à 1. Dernière modification le 28 juin 2017 à 09:26.

    Petya utilise élégamment les fonctionnalités Windows d'administration des postes de travail, Windows Management Instrumentation (WMI) et PsExec, pour infecter les autres ordinateurs du LAN. Autrement dit : une fois qu'un poste administrateur Windows est infecté, il peut infecter tous les postes de travail auxquels ils ont accès, même si ces postes sont ultra sécurité, car c'est volontaire de permettre d'exécuter du code arbitraire.

    Euh, c'est pas Windows 9X, hein.

    La capacité d'utiliser ces APIs dépend de la bonne configuration des droits sur le poste.

    WMI et tout autre API d'automatisation/interrogation sont sujets à restrictions (notamment via les GPO).

    Autrement dit : mauvais admin, changer admin.

    (ou sinon moi aussi je peux déformer la vérité en disant que le moteur Javascript de Firefox, ou le shell de GNU/Linux, provient d'une volonté de pouvoir exécuter du code arbitraire, peu importe la sécurité mise en place sur le poste. Ce sera toujours aussi faux, mais quand on applique ça à Windows ça fait du karma sur TrollFR, alors on va pas se plaindre !)

    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)