17/05/2017 19:00 PDT (heure du Pacifique)
AWS est conscient du ransomware WannaCry (également appelé WCry, WanaCrypt0r 2.0 et Wanna Decryptor) qui tire avantage de problèmes de plusieurs versions de Microsoft Windows SMB Server. Par défaut, SMB fonctionne sur les ports UDP 137 et 138 et les ports TCP 139 et 445. Ce service offre des possibilités de partage de fichiers et d'imprimantes aux systèmes distants. Le 14 mars 2017, Microsoft a publié une mise à jour de sécurité critique pour Microsoft Windows SMB Server, qui atténue ce problème. Microsoft fournit d'autres informations dans le blog Microsoft MSRC et dans le bulletin de sécurité Microsoft MS17-010. Les services AWS ne sont pas touchés, à l'exception de ceux répertoriés ci-dessous :
EC2 Windows
Les clients AWS qui utilisent les AMI Windows du 12/04/2017 fournis par AWS ou ceux qui ont activé les mises à jour automatiques ne sont pas concernés. Nous encourageons les clients qui utilisent un AMI plus ancien ou qui n'ont pas activé les mises à jour automatiques à installer la mise à jour de sécurité. Comme toujours, AWS recommande aux clients de suivre les bonnes pratiques de sécurité et de vérifier les paramètres de leurs groupes de sécurité et de n'accorder l'accès aux ports mentionnés ci-dessus qu'aux instances et aux hôtes distants qui en ont besoin. Par défaut, les groupes de sécurité EC2 bloquent ces ports.
Les notes de mise à jour de l'AMI Windows d'AWS sont disponibles ici.
Instances WorkSpace
Les instances WorkSpace créées le 15 avril 2017 ou après ou celles dont les mises à jour automatiques sont activées ne sont pas concernées. Nous encourageons les clients qui ont créé la ou leurs instances WorkSpace avant le 15 avril 2017 et qui n'ont pas activé les mises à jour automatiques à installer la mise à jour de sécurité ou à reconstruire la ou leurs instances WorkSpace.
Directory Service
MISE À JOUR 20/05/2017 : nous avons terminé l'application des correctifs des annuaires clients Microsoft AD. Aucune action n'est nécessaire de la part du client.
17/05/2017 : nous appliquons activement les correctifs des annuaires Microsoft AD. Les clients sont protégés contre l'accès externe par la configuration par défaut de Directory Service qui n'autorise l'accès qu'à partir du VPC du client. Nous mettrons à jour ce bulletin dès que l'application des correctifs sera terminée.
Amazon Simple AD, AD Connector et AWS Cloud Directory ne sont pas concernés par ce problème.
Elastic Beanstalk
Les environnements Elastic Beanstalk qui utilisent la plate-forme Windows Server créée ou mise à jour après le 4 mai 2017 ne sont pas concernés par ce problème. Nous encourageons les clients qui utilisent des environnements Windows Elastic Beanstalk existants à mettre à jour la version de leur plateforme afin de recevoir la mise à jour. Cette opération peut s'effectuer via la Console de gestion AWS ou en reconstruisant l'environnement. Les notes de mise à jour d'Elastic Beanstalk pour la dernière version de la plateforme sont disponibles ici.