Opération Aurora

Comment savoir si mon entreprise a été infectée ?
D'après les attaques connues à ce jour, l'opération Aurora frappe en fournissant un ensemble de fichiers et en utilisant un ensemble de domaines externes. L'analyse de vos systèmes et de votre infrastructure à la recherche de ces identifiants peut indiquer une exposition. En savoir plus

Mon entreprise est-elle concernée par un risque d'infection ?
Le code qui exploite la vulnérabilité de Microsoft Internet Explorer a malheureusement été diffusé publiquement et est disponible sur Internet. La diffusion publique augmente considérablement la possibilité d'attaques à grande échelle exploitant la vulnérabilité, mettant potentiellement en danger grave les utilisateurs de Microsoft Internet Explorer.

Conscient des attaques ciblées, Microsoft a distribué un bulletin de sécurité et un patch. Il répertorie les combinaisons suivantes comme étant vulnérables : Internet Explorer 6 Service Pack 1 sur Microsoft Windows 2000 Service Pack 4 ; Internet Explorer 6, Internet Explorer 7 et Internet Explorer 8 sur les éditions prises en charge de Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.

Comment protéger mon entreprise ?
Ayant pris connaissance de l'attaque, les chercheurs de McAfee Labs ont fourni des fichiers de détection antimalware ; des signatures d'analyse de comportement et de contenu ; des mises à jour de la protection web, de système de prévention des intrusions et de sécurisation des adresses IP ; des suggestions sur la configuration des produits, sans oublier des conseils via le blog de McAfee Labs.

McAfee Global Threat Intelligence, notre système mondial dématérialisé de renseignements en temps réel sur les menaces connues et émergentes et sur les principaux vecteurs de menaces, surveille le Web pour y identifier les exploits et les points d'entrée liés à l'opération Aurora ou à d'autres menaces, et apporte immédiatement une protection aux produits McAfee. En savoir plus

Pour assurer la protection des systèmes, nous recommandons les étapes suivantes :

1. Vérifiez que votre logiciel antivirus/antimalware McAfee est à jour, avec un fichier DAT version 5864 ou ultérieure.
2. Lancez une analyse complète sur votre système ou sur chaque système si les fichiers DAT n'étaient pas à jour.
3. Vérifiez que McAfee Artemis™ Technology est activé sur vos produits de sécurisation des postes clients McAfee. McAfee Artemis Technology est une technologie d'analyse de la réputation des fichiers en temps réel qui garantit une protection contre les menaces malveillantes connues et émergentes. Si vous ne savez pas comment procéder, veuillez consulter la Base de connaissances McAfee (KnowledgeBase) pour accéder à un didacticiel vidéo.
4. Déployez les mises à jour de sécurité de Microsoft pour les plates-formes Internet Explorer appropriées si ce n'est pas déjà fait. Tant que les mises à jour ne sont pas déployées, configurez le paramètre de sécurité de votre navigateur sur HAUTE et restreignez la navigation aux sites connus.
5. Si vous possédez d'autres produits McAfee, consultez le blog de McAfee Labs afin d'obtenir les dernières mises à jour de signatures, des suggestions sur la configuration des produits et d'autres conseils.
6. Consignez toutes les demandes web en sortie en vue d'analyses post-mortem futures si vous en avez la possibilité.

Bénéficiez de nos offres d'essai gratuites et de nos kits de solutions

Services d'intervention sur incident. Laissez notre équipe d'intervention vous aider en cas d'incident. Si vous pensez avoir peut-être été infecté par Aurora, McAfee offre des services gratuits d'intervention sur site en cas d'incident (Incident Response) aux sociétés qualifiées affectées par Aurora en Amérique du Nord. Contacter les services McAfee Foundstone.

Evaluation des risques. Microsoft ayant distribué un patch hors cycle pour Aurora le 21 janvier 2010, de nombreuses sociétés ont à présent des difficultés à déterminer quels systèmes sont vulnérables et lesquels nécessitent l'application du patch. Pour les aider à identifier précisément les systèmes en danger et ceux qui nécessitent un patch, vous pouvez tirer profit d'une version d'essai gratuite du logiciel McAfee Risk Advisor.

Détection des vulnérabilités. Aurora Vulnerability Detection Tool est un outil facile à utiliser qui analyse votre environnement à la recherche des systèmes comportant la vulnérabilité Microsoft Internet Explorer et qui détecte les systèmes infectés exploités par l'opération Aurora. Cliquez ici pour en savoir plus et pour télécharger l'outil McAfee Aurora Vulnerability Detection Tool.

Nettoyage des systèmes. Bénéficiez de l'outil gratuit McAfee Stinger.

Web Gateway. La protection avancée contre les logiciels malveillants (malwares) de la solution McAfee Web Gateway sécurise proactivement les entreprises contre Aurora, sans nécessiter de mise à jour et pour une totale tranquillité d'esprit. Assurez-vous une longueur d'avance sur la prochaine menace de type « jour zéro ». Bénéficiez dès à présent d'une version d'essai gratuite de McAfee Web Gateway.

Sécurisation des postes clients. Pour protéger votre entreprise contre l'opération Aurora, bénéficiez d'une version d'essai gratuite du logiciel McAfee Total Protection for Endpoint, combinant notre technologie antimalware tout-en-un, des fonctionnalités de prévention des intrusions et de sécurisation de l'environnement web ainsi qu'une solution de pare-feu pour postes clients. Cliquez ici pour vous inscrire afin de profiter d'une version d'essai gratuite.

Listes d'autorisation d'applications. Bénéficiez d'une version d'essai gratuite du logiciel McAfee Application Control, notre solution de création de listes d'autorisation d'applications de pointe qui ne nécessite aucune mise à jour de signatures. Pour empêcher Aurora et d'autres attaques de type « jour zéro » d'affecter votre environnement, téléchargez votre version d'essai gratuite.

Sécurisation des réseaux. Mettez votre réseau à l'abri des attaques Aurora dès à présent avec les technologies avancées de sécurisation des réseaux McAfee. Les réseaux les plus sensibles et les plus attaqués au monde font confiance aux solutions de sécurisation des réseaux McAfee. Inscrivez-vous pour demander des versions d'évaluation gratuites de notre appliance virtuelle Firewall Enterprise Virtual Appliance et une version virtuelle de notre solution Network Threat Response.

Couverture des produits McAfee pour Aurora

Ayant pris connaissance de l'attaque, les chercheurs de McAfee Labs ont fourni des fichiers de détection antimalware ; des signatures d'analyse de comportement et de contenu ; des mises à jour de la protection web, de système de prévention des intrusions et de sécurisation des adresses IP ; des suggestions sur la configuration des produits, sans oublier des conseils via le blog de McAfee Labs.

Aurora était une attaque en plusieurs étapes. McAfee propose les solutions et produits suivants pour protéger les clients au cours des différentes étapes de l'opération Aurora.

Etape 1 : Début de l'attaque. Un utilisateur dont le système présente la vulnérabilité d'IE consulte un site infecté par le logiciel malveillant d'Aurora.

• McAfee Risk Advisor (identifie le risque global du réseau par rapport à Aurora)
• McAfee Vulnerability Manager (identifie les systèmes utilisant des versions vulnérables d'IE)
• McAfee SiteAdvisor (bloque l'accès aux sites associés à Aurora)
• McAfee Firewall Enterprise (bloque l'accès aux sites associés à Aurora)
• McAfee Web Gateway (bloque l'accès aux sites associés à Aurora)
• McAfee Email and Web Security Appliance (bloque l'accès aux sites associés à Aurora)
• McAfee Network Security Platform (bloque l'entrée des exploits liés à la vulnérabilité d'IE)
• Services Foundstone

Etape 2 : Attaque en cours. Le site web exploite la vulnérabilité ; le logiciel malveillant (déguisé en fichier JPG) est téléchargé sur le système de l'utilisateur.

• Logiciel McAfee VirusScan Enterprise, avec McAfee Artemis Technology activé (bloque le logiciel malveillant d'Aurora)
• McAfee Firewall Enterprise (bloque la connexion Aurora à l'aide de la réputation des adresses IP)
• McAfee Web Gateway (détecte/bloque le logiciel malveillant d'Aurora caché dans des fichiers JPG) (protection immédiate)
• McAfee Email and Web Security Appliance (détecte/bloque le logiciel malveillant d'Aurora caché dans des fichiers JPG)
• Solution McAfee Network Threat Response (détecte le logiciel malveillant caché dans des fichiers JPG) (protection immédiate)
• Solution McAfee Host Intrusion Prevention (empêche l'exploitation de la vulnérabilité d'IE)
• Services Foundstone

Etape 3 : Mise en place de l'attaque terminée. Le logiciel malveillant est installé sur le système ; il ouvre une porte dérobée (à l'aide d'un protocole personnalisé agissant comme SSL) qui donne accès à des données confidentielles.

• McAfee Firewall Enterprise (détecte/bloque la communication par canal de retour d'Aurora) (protection immédiate)
• McAfee Web Gateway (détecte/bloque la communication par canal de retour d'Aurora) (protection immédiate)
• McAfee Email and Web Security Appliance (détecte/bloque la communication par canal de retour d'Aurora)
• Logiciel McAfee VirusScan Enterprise (détecte et supprime le logiciel malveillant d'Aurora)
• Outils de McAfee Network User Behavior Analysis (identifient les comportements inattendus des utilisateurs pendant les phases de reconnaissance et de collecte de données d'Aurora)
• Logiciel McAfee Application Control (empêche l'installation du logiciel malveillant d'Aurora) (protection immédiate)
• Solution McAfee Network Data Loss Prevention (empêche Aurora de déplacer des données confidentielles en dehors du réseau ; procure des données « post-mortem » sur les mouvements) (protection immédiate)
• Services Foundstone