25/09/01
Les
12 travaux d'Hercule pour enrayer Nimda
On
le savait déjà, le ver Nimda
utilise quatre méthodes de propagation pour s'envoyer
d'un ordinateur à l'autre sans faire appel à
la vulnérabilité humaine du clic de souris
sur les fichiers attachés. Par la suite, il infecte
tous les fichiers éxécutables qu'il trouve
sur l'ordinateur atteint et crée dans certains
cas un compte administrateur. Cette information, connue
depuis le rapport de l'organisme américain Cert
(Computer emergency response team) daté du 18 janvier,
a été déclinée dans nos précédents
articles du 20
et du 21 septembre.
En parallèle, le risque de saturation de la bande
passante d'un réseau s'avère également
fondé en raison d'un choix particulier des adresses
IP à sonder pour exploiter parmi 16 méthodes
celle qui se trouve adaptée à la configuration
du système cible. Par rapport à une adresse
IP de type 202.106.185.207, le ver tente une fois sur
deux d'en attaquer d'autres basées sur les deux
mêmes premiers octets (202.106), et une fois sur
quatre sur le premier octet, selon l'alerte
du SANS sur Incidents.org. Il en résulte une
multiplication des flux sur les sous-réseaux d'Internet
qui sont justement identifiés par ces deux premiers
octets. L'adresse IP ci-dessus est celle qu'utilise Nimda,
mais également QAZ comme relais pour sa propagation
via la messagerie. C'est pourquoi le laboratoire SIL d'Ubizen
suggère aussi que l'auteur puisse être le
même ou qu'il ait pu réutiliser une portion
du code de l'ancien virus.
Infection supplémentaire
en ouvrant les fichiers RTF
Mais
ce que l'on savait beaucoup moins à la lecture
du communiqué du Cert, c'était la virulence
avec laquelle Nimda s'en prend aux fichiers sur le poste
client. Dans
sa propre alerte, le Cert-IST, son équivalent
français auprès de grandes entreprises,
dévoile une autre méthode d'infection lors
de l'ouverture des fichiers de texte enrichi RTF (Rich
text format). Celle-ci s'opère en remplaçant
le fichier caché riched32.dll dans le répertoire
windows à la réception du virus. Il suffit
ensuite de double-cliquer sur le document RTF pour éxécuter
celui-ci. Non détecté initialement, ce principe
masqué aurait été susceptible de
relancer l'infection sur les PC équipés
d'antivirus dont les laboratoires des éditeurs
n'auraient pas vu la faille. Fort heureusement, il n'a
fallu qu'un ou deux jours aux experts pour s'en apercevoir.
Bref. Comme il s'avère capable d'ouvrir tout seul
des répertoires partagés sur le réseau
local, Nimda est dans un premier temps une véritable
plaie pour les entreprises. Et ceci, sachant qu'il peut
aussi s'insérer dans chaque page web de tous les
portails dont les failles n'ont pas été
corrigées.
La méthodologie à
suivre pour désinfecter son réseau
A l'attention des clients de ses gammes antivirus, Trend
Micro développe une méthodologie qui
commence à partir des intranets. D'abord, il faut
mettre à jour tous les serveurs IIS avec les bouquets
de correctifs Microsoft adaptés (cf. fin
de page). Pour ceux qui ne sont pas clients de l'éditeur
dont la dernière mise à niveau des produits
intègre la fonction, le lien précédent
renvoit aussi à des scripts de filtres à
appliquer aux serveurs de messagerie. Enfin, vis-à-vis
des postes clients, les procédures de désinfection
se montrent déjà un peu fastidieuses pour
les personnes équipées d'un antivirus. De
plus, en raison de l'omniprésence du virus sur
le poste client et des modifications qu'il apporte à
son système, il peut paraître difficile de
savoir si un cheval de Troie n'aurait pas été
laissé dans un coin. C'est pourquoi l'alerte de
intrusions.org suggère tout simplement de reformater
le disque dur et de réinstaller Windows en mode
déconnecté avec tous les correctifs nécessaires.
Après, dans un second temps, les correctifs auront
été appliqués et finalement le virus
aura été utile en ne laissant que des ordinateurs
"patchés" derrière lui, tout comme
Code Red précédemment. Mais à quel
prix cette fois-ci: réseaux encombrés, machines
plantées, jours/homme perdus sur la correction
des pages web et des postes clients, et même parfois
exploitation des postes attaqués par un pirate...
La liste est longue, et donne à réfléchir
sur la question de l'investissement proactif dans une
politique de sécurité adaptée à
l'échelle de l'entreprise.
|