Vulnérabilités
Les serveurs Windows vulnérables à distance
Par Jerome Saiz, le 16 avril 2007 à 14:18:00.
Les serveurs Windows sont vulnérables à une attaque de leur serveur DNS via le service RPC. La vulnérabilité est déjà exploitée sur Internet et elle aurait permis de compromettre les serveurs de plusieurs universités américaines. Il n'y a aucun correctif pour l'instant, bien que Microsoft ait reconnu son existence.
Haro sur Windows Server ! Toutes les versions serveur du système (Windows 2000 Server SP4, Windows Server 2003 SP1 et Windows Server 2003 SP2) peuvent potentiellement être détournées à distance.
L'attaque cible l'interface RPC du service de résolution des noms (DNS), activée par défaut à l'installation du système. La vulnérabilité serait utilisée par des pirates depuis au moins le 4 avril dernier, date de la première attaque confirmée par le SANS, un organisme de veille américain.
La faille ne touche cependant pas le service DNS lui-même (actif au port TCP/53), mais le lien qui existe entre lui-même et le service RPC. Ce dernier est un coupable habituel bien connu, dont les boulettes et autres manquements sont à l'origine de nombreuses attaques et de grandes épidémies (c'était notamment la méthode d'infection utilisée par le ver Blaster).
Les attaques observées jusqu'à présent par le SANS suivent un scénario très traditionnel : des analyses sauvages sont dirigées vers les ports TCP/1024 à TCP/2048 des serveurs accessibles publiquement. Si un service RPC vulnérable est découvert, une connexion vient alors l'exploiter et ouvrir une porte d'accès sur la machine (au port TCP/1100). Cette dernière est ensuite utilisée pour déposer et exécuter un script Visual Basic sur le serveur. Celui-ci télécharge ensuite l'outil
PWDUMP depuis - pour l'instant - un serveur basé à Taiwan. PWDUMP est un outil de casse par force brute des mots de passe Windows.Il ne s'agit ici bien entendu que des premières attaques observées. N'importe quel code malicieux peut-être exécuté de la sorte, et il le sera avec les droits
SYSTEM de Windows.Cette vulnérabilité ne concernant que les versions "serveur" du système d'exploitation, Windows 2000 Professional SP4, Windows XP SP2 et Windows Vista ne sont pas vulnérables. Pour ce dernier d'ailleurs, Microsoft a pris les devant lors de sa conception : le service RPC a été ré-écrit afin de limiter de tels abus. Il ne bénéficie notamment plus des droits
SYSTEM et ne peut manipuler le système de fichier à sa guise. Cette attaque n'aurait ainsi probablement pas été possible sur la version serveur (à venir !) de Windows Vista.Bien que Microsoft ait reconnu la vulnérabilité et que cette dernière soit exploitée, aucun correctif n'est encore disponible. L'éditeur a cependant offert deux conseils afin de limiter l'exposition des serveurs à cette vulnérabilité : modifier la base de registre afin d'interdire le lien RPC vers le service DNS ou bloquer les connexions aux ports 1024 à 5000 lorsque c'est possible.
Par ailleurs, un "patch virtuel" non-officiel est proposé par l'éditeur Bluelane aux utilisateurs de ses boîtiers PatchPoint et de son logiciel VirtualShield.
Plus d'information
- L'alerte officielle sur le site de Microsoft (en anglais)
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
