05/10/2001
Quand
Sun Solaris attaque (involontairement) Microsoft IIS...
Le
CERT (Computer Emergency Response Team), célèbre
organisme américain de prévention et de
réaction aux problèmes de sécurité
informatique, a lancé une alerte
pour prévenir du danger d'un virus de type ver
susceptible d'infecter et d'endommager les plates-formes
Solaris et IIS (Internet Information Server de Microsoft).
Le programme explore lui-même les plates-formes
susceptibles d'être attaquées, s'y installe
et les dégrade en utilsant les systèmes
Solaris comme un marche-pied pour altérer ensuite
les pages web hébergées sur... des plates-formes
IIS !
Infection
en deux temps...
Baptisé "sadmind/IIS worm",
ce monstre très oecuménique s'installe dans
un premier temps sur les serveurs web sous système
d'exploitation SunOS, d'où il s'attaque ensuite
aux serveurs équipés de l'Internet Information
Server (IIS) de Microsoft. La première infection
consiste à tirer parti d'une faille de sécurité
de type "buffer overflow", repérée
depuis déjà deux ans dans le programme Solstice
sadmind (voir une précédente alerte
du CERT à ce sujet).
Dès lors, un programme s'installe sur la plate-forme
(création des répertoires /dev/cub/ et /dev/cuc/)
et l'utilise pour scanner les autres machines Solaris
susceptibles d'être infectées. Mais le programme
scanne également les systèmes IIS auxquels
il s'attaque dans un second temps. Cette fois, c'est une
faille connue depuis sept mois dont le programme profite
(voir note
du CERT). Les pages web hébergées sur une
plate-forme infectée sont modifées et affichent
alors un message insultant notamment le gouvernement américain.
Le "contact" indiqué correspond à
un compte email ouvert sur la version chinoise de Yahoo!.
...Parade
en trois mouvements.
Les
failles de sécurité exploitées par
ce ver étant déjà connues, Sun propose
depuis un certain temps une série de patchs
pour les différentes versions menacées et
Microsoft offre également un patch
pour chacune des deux versions de IIS concernées.
Le CERT insiste toutefois sur l'urgence de télécharger
ces patchs pour tout administrateur soucieux de l'intégrité
de son système. D'autant plus, ajoutent les experts,
qu'un certain nombre d'autres méfaits pourraient
être commis par le biais de telles failles laissées
en l'état. Enfin, l'organisme s'interroge quant
à la possibilité que certains dégâts
constatés sur des plates-formes sous Windows puissent
encore résulter de ce même virus.
Versions
affectées |
SunOS
5.7, 5.7_x86, 5.6, 5.6_x86, 5.5.1, 5.5.1_x86 |
SunOS
5.5, 5.5_x86 |
SunOS
5.4, 5.4_x86 |
SunOS
5.3 si AdminSuite est installée |
Microsoft
IIS 4.0 |
Microsoft
IIS 5.0 |
|