Codes malveillants

Spida attaque SQL Server fissa.

Par Jerome Saiz, le 27 mai 2002 à 20:35:00.

Le ver Spida s'attaque aux serveurs SQL Server 7.0 de Microsoft. Sa méthode est primaire, puisqu'il profite tout simplement d'un mot de passe laissé par défaut lors de l'installation pour s'introduire sur le système. Il ne concernera donc que les administrateurs qui n'ont pas vraiment fait leur travail.

SQLSnake (Spida) prouve une fois encore qu'il n'y a guère besoin de parasites perfectionnés pour lancer une belle épidémie. La naïveté ou la méconnaissance des utilisateurs suffit bien souvent à ouvrir les portes d'un système.
Spida balaie des plages d'adresses IP à la recherche de Microsoft SQL Server 7.0 dont l'administrateur a laissé le mot de passe système vide. L'oubli est courant, et depuis plusieurs mois déjà les pirates et au moins un autre ver (SQL Worm) connaissaient l'astuce. Et quelle astuce ! Il suffit de se connecter au port 1433 du serveur SQL, d'entrer le login sa et un mot de passe vide, pour accéder au système en temps qu'administrateur.
Bien sûr, cela ne fonctionne qu'avec des serveurs dont l'administrateur est assez étourdi pour ne pas avoir changé le mot de passe par défaut, et assez inconscient pour ne pas filtrer le port 1433 sur son pare-feu.

Spida compte ainsi sur une bonne dose de chance et pas mal d'erreurs humaines, et pourtant, ça marche. Plusieurs milliers de serveurs étaient infectés dans les premières heures de sa propagation, tandis que les éditeurs d'antivirus et le CERT donnaient l'alerte.

Pour se protéger :
La parade est simple : il suffit bien sûr de choisir un mot de passe robuste pour le compte sa et de filtrer correctement le port 1433 sur les firewall. A noter également que SQL Server 2000 est moins vulnérable à cette "erreur", car il prévient l'administrateur lorsque aucun mot de passe n'est sélectionné pour le compte sa.

Internet : L'attaque des serveurs DNS clones. (04 avril 2005)
Une attaque de grande envergure visait les internautes. (26 juin 2004)
Une attaque de déni de service sur Bind 8.2.2P5 sous Linux. (14 nov 2000)
Le ver Santy s'attaque aux forums de discussion phpBB. (21 déc 2004)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.