PG Software - Votre distributeur IT

Blog

blog endpoint central windows 11

 

Windows 11 est arrivé. Depuis sa sortie en octobre 2021, les utilisateurs vérifient les mises à jour, attendant avec impatience la mise à jour du système. Les exigences de Microsoft sont plus strictes que d'habitude et le déploiement de la fonctionnalité arrive donc par étapes. Les utilisateurs actuels de Windows 10 peuvent le télécharger gratuitement. Pour les autres, il y a quelques vérifications de compatibilité avant la mise à jour.

Un beau matin de janvier, après quatre mois de patience pour les utilisateurs, la phase de déploiement massif de Windows 11 pour les périphériques éligibles fut annoncée. À peine cette annonce a-t-elle été effectuée qu'un afflux de trafic s'est fait ressentir : les utilisateurs ont pris d'assaut Internet, se demandant si leurs terminaux étaient compatibles. Comme pour satisfaire leurs attentes, des publicités pour la mise à jour de Windows sont apparues sur les médias sociaux, invitant les utilisateurs à cliquer et à télécharger la mise à jour. Ils étaient loin de se douter que le contenu installé était en réalité un malware caché.

Le malware était déguisé en un faux programme d'installation de mise à jour Windows 11, incitant les utilisateurs à le télécharger et à l'exécuter. HP a indiqué que le malware était hébergé depuis le domaine "windows-upgraded.com" pour tromper habilement les utilisateurs. Lorsqu'ils cliquaient sur l'option "Télécharger maintenant", ils recevaient un fichier ZIP de 1,5 Mo nommé "Windows11InstallationAssistant.zip".

Le fichier, grâce à un taux de compression de 99,8% et une technique de 'remplissage'; a pu une fois décompressé créer un dossier de 753 Mo.

Lorsqu'un utilisateur essayait d'exécuter le programme, un processus PowerShell avec un argument encodé démarrait, puis un cmd.exe démarrait, avec un délai d'attente de 21 secondes. Une fois le délai expiré, win11.jpg est téléchargé depuis un serveur Web distant.

Ce fichier image s'avére être une bibliothèque de liens dynamiques (DLL) mais pour éviter la détection et l'analyse, son contenu a été inversé. Dans le processus initial, cette DLL était chargée et s'exécutait elle-même. Elle s'est à nouveau substituée à la DLL téléchargée dans le contexte du thread actuel. Pour recevoir d'autres instructions, elle a ouvert une connexion TCP vers un serveur configuré et connecté, en l'occurrence 45.146.166[.]38:2715. Il s'agit de RedLine Stealer, qui, une fois déployé, vole tous les mots de passe de remplissage automatique, les cookies du navigateur et les informations des cartes de crédit et des portefeuilles de crypto-monnaies.

La première cause de toute attaque de logiciels malveillants peut être attribuée à deux choses principales : la négligence du côté des administrateurs et l'ignorance du côté des utilisateurs. Pourquoi la négligence ? Les administrateurs, en raison de leur énorme charge de travail, oublient parfois de vérifier les mises à jour des versions. Ils sont toujours retenus par des tickets. Ils ne peuvent pas non plus se déplacer sans cesse d'un terminal à l'autre pour vérifier si les systèmes d'exploitation sont à jour.

Il y a aussi les utilisateurs ignorants qui ne réfléchissent jamais à deux fois avant de cliquer sur les mises à jour ou sur un appât à clics (clickbait). Ils n'ont aucune idée des autorisations qu'ils donnent aux applications qu'ils installent (ou dans le cas d'une menace interne, un utilisateur malveillant cherchant à nuire à son entreprise pourrait installer délibérément un malware et feindre l'ignorance).

Prenons le cas de Tencent, par exemple. Beaucoup d'entre nous ont probablement installé une application ou un jeu Tencent à un moment donné. Nous ne savions pas quelles autorisations ils demandaient, mais nous les avons simplement autorisées. Les applications ont ensuite recueilli des informations sensibles sur nous, qui ont été exploitées, faisant peser des menaces majeures sur les individus et les gouvernements.

En un clin d'œil, votre entreprise est risque de perdre de l'argent si ses données tombent entre les mains d'acteurs mal intentionnés, ce qui peut également entraîner une interruption des activités. Lorsque vous répondez à une violation de données, en essayant de rattraper tout ce qui a été perdu, le mal est déjà fait. La réputation de votre entreprise est ternie et la confiance de vos clients est diminuée.

Dans une grande entreprise, comment s'assurer que les utilisateurs ne téléchargent pas un faux programme d'installation de Windows 11 ? Lors des retours aux bureaux après une période de télétravail, comment s'assurer que tous les terminaux soient conformes ? Dans le cas d'une entreprise internationale fonctionnant 24 heures sur 24 et 7 jours sur 7, comment déployer les mises à jour logicielles sans interrompre l'activité ?

Selon le rapport Cost of a Data Breach Report 2021 d'IBM, la complexité des systèmes et les défaillances de conformité sont les principaux facteurs d'augmentation des coûts liés aux violations de données. Passer au Cloud ou digitaliser votre entreprise ne suffit pas. Ce qui est plus important, c'est la façon dont vous vous occupez de vos terminaux, en vérifiant les détails les plus infimes, comme une mise à jour.

Éléments à prendre en compte

  • Le déploiement de logiciels et la gestion des applications sont des tâches courantes et banales. Pour les entreprises de toute tailles, l'automatisation est essentielle. Les êtres humains font des oublis, mais pas l'IA. Vous pouvez donc déployer des logiciels et faire confiance à l'IA pour finir le travail. ManageEngine propose de nombreuses solutions qui répondent à ces besoins. Assurez-vous d'investir dans une solution automatisée qui déploie les applications rapidement et, surtout, qui est sécurisée.

  • Sélectionnez un outil qui propose des mises à jour automatiques. Ainsi, vous n'aurez pas à les vérifier régulièrement et vous n'en manquerez aucune.

  • Si vous n'êtes pas sûr des besoins de vos utilisateurs, choisissez un produit doté d'une fonction de portail en libre-service.

  • Lorsqu'il s'agit d'un scénario de production en temps réel où la bande passante est faible, envisagez de déployer des logiciels intégrés dans les systèmes d'exploitation.

  • En ce qui concerne l'intégration, regroupez les logiciels et les applications de base dans un package et déployez-les lorsqu'un nouvel employé arrive.

Si vous rencontrez des difficultés à déployer des logiciels ou à gérer des applications, consultez Endpoint Central, notre solution globale de gestion des terminaux.