Quand Sun Solaris attaque (involontairement) Microsoft IIS...

Le CERT (Computer Emergency Response Team), célèbre organisme américain de prévention et de réaction aux problèmes de sécurité informatique, a lancé une alerte pour prévenir du danger d'un virus de type ver susceptible d'infecter et d'endommager les plates-formes Solaris et IIS (Internet Information Server de Microsoft). Le programme explore lui-même les plates-formes susceptibles d'être attaquées, s'y installe et les dégrade en utilsant les systèmes Solaris comme un marche-pied pour altérer ensuite les pages web hébergées sur... des plates-formes IIS !

Infection en deux temps...
Baptisé "sadmind/IIS worm", ce monstre très oecuménique s'installe dans un premier temps sur les serveurs web sous système d'exploitation SunOS, d'où il s'attaque ensuite aux serveurs équipés de l'Internet Information Server (IIS) de Microsoft. La première infection consiste à tirer parti d'une faille de sécurité de type "buffer overflow", repérée depuis déjà deux ans dans le programme Solstice sadmind (voir une précédente alerte du CERT à ce sujet).

Dès lors, un programme s'installe sur la plate-forme (création des répertoires /dev/cub/ et /dev/cuc/) et l'utilise pour scanner les autres machines Solaris susceptibles d'être infectées. Mais le programme scanne également les systèmes IIS auxquels il s'attaque dans un second temps. Cette fois, c'est une faille connue depuis sept mois dont le programme profite (voir note du CERT). Les pages web hébergées sur une plate-forme infectée sont modifées et affichent alors un message insultant notamment le gouvernement américain. Le "contact" indiqué correspond à un compte email ouvert sur la version chinoise de Yahoo!.

...Parade en trois mouvements.
Les failles de sécurité exploitées par ce ver étant déjà connues, Sun propose depuis un certain temps une série de patchs pour les différentes versions menacées et Microsoft offre également un patch pour chacune des deux versions de IIS concernées. Le CERT insiste toutefois sur l'urgence de télécharger ces patchs pour tout administrateur soucieux de l'intégrité de son système. D'autant plus, ajoutent les experts, qu'un certain nombre d'autres méfaits pourraient être commis par le biais de telles failles laissées en l'état. Enfin, l'organisme s'interroge quant à la possibilité que certains dégâts constatés sur des plates-formes sous Windows puissent encore résulter de ce même virus.