Codes malveillants
Le ver Zotob frappe Windows 2000
Par Jerome Saiz, le 15 août 2005 à 21:34:00.
Après la vulnérabilité, puis les codes d'exploitation, voici le ver : Zotob se propage actuellement à travers Internet grâce à la toute récente faille Plug & Play de Windows. Sa progression devrait toutefois être modérée car il ne s'attaque qu'aux PC sous Windows 2000 sans pare-feu. Et puis le correctif est tout de même disponible depuis une semaine... [Mis à jour le 17/08/05]
Le scénario est désormais classique : une vulnérabilité est annoncée, un code d'exploitation est publié, et si les conditions sont bonnes (lisez : le code d'exploitation n'est pas trop difficile à copier-coller), un ver voit le jour. C'est ce qui s'est passé avec des pointures tels Blaster ou Sasser et, aujourd'hui, avec Zotob.
Mais ce dernier aura probablement beaucoup moins d'impact que ses deux illustres prédécesseurs : Zotob exploite la dernière vulnérabilité critique à frapper Windows, et celle-ci n'est vraiment inquiétante que sur Windows 2000. Les versions XP SP2 et Server 2003 du système d'exploitation de Microsoft, bien que vulnérables elles aussi, ne le sont que localement ou à partir d'un compte administrateur.
Sous Windows 2000, en revanche, cette vulnérabilité permet à Zotob de prendre le contrôle de l'ordinateur à distance même lorsqu'il est à jour de tous ses correctifs (SP4 + tous les hotfix, sauf bien sûr le patch dédié publié la semaine dernière).
Bien sûr, pour s'en prendre ainsi à un PC, Zotob doit pouvoir communiquer avec lui. Il le fait (comme beaucoup d'autres vers avant lui) via le port 445. Si l'ordinateur est protégé par un pare-feu, Zotob ne pourra donc pas l'infecter.
Mais bien sûr, si vous utilisez ou administrez des PC sous Windows 2000, le mieux est encore d'appliquer le correctif !
Mise à jour du 17/08/05 :
Il semblerait que finalement Zotob ait trouvé son public : selon le quotidien Libération, la chaîne américaine CNN aurait interrompu ses programmes pour annoncer que ses ordinateurs sous Windows 2000 étaient infectés et ABC aurait eu à ressortir ses vieilles machines à écrire pour terminer le journal du soir. On parle de "centaines" de victimes (un chiffre toutefois relativement faible par rapport à d'autres épidémies) mais d'une progression constante. En outre le code d'exploitation utilisé par le ver Zotob semble avoir fait des émules : on recense désormais plusieurs variantes du ver ainsi que deux autres familles de parasites (Bozori et Ircbot) qui utilisent la même vulnérabilité. Selon l'éditeur d'antivirus F-Secure plusieurs groupes d'auteurs de virus se seraient lancés dans une course au plus grand nombre de PC infectés à l'aide de cette vulnérabilité (toujours dans le but de contrôler un maximum de PC zombies qu'ils pourront ensuite louer à bon prix aux spammeurs et autres escrocs).
Plus d'information
- L'alerte de Microsoft concernant la vulnérabilité exploitée par Zotob.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
