30/11/01
CBlade
représente-t-il une vraie menace pour SQL Server ?
Au sommaire du Dossier
"Virus, vers et trojans"
Compte tenu de l'échelle de propagation du ver
Badtrans.B, qui espionne les mots de passe saisis au
clavier et n'a pas besoin d'être activé
par un clic sur la pièce jointe, l'actualité
des codes malicieux pourrait s'arrêter là.
Et ceci, d'autant plus que la plupart des éditeurs
d'antivirus ont revu leurs estimations de risque à
la hausse. En attendant, trois d'entre eux ont diffusé
une autre alerte deux jours avant (le 22 novembre,
celle de Badtrans.B étant datée du 24),
qui est à peu près passée inaperçue
du fait que le code malicieux incriminé présente
un risque faible.
L'alerte en question (bulletins de Trend
Micro, Symantec,
McAfee)
qualifie donc un ver apparemment innocent nommé
CBlade. Mais à y regarder de plus près,
ce code malicieux
aurait
pu susciter davantage d'émoi, car il se propage
par l'intermédiaire du serveur de données
SQL Server de Microsoft. Une première qui, selon
un principe courant de l'histoire récente des
virus au sens général du terme, pourrait
être un test de la part de son programmeur en
vue de diffuser plus tard une variante plus dangereuse.
Russ Cooper, éditeur de la mailing list NTBugtraq
que nous avons interviewé récemment, y
a publié son propre avertissement
le 23/11. Dans celui-ci, il conseille de ne pas prendre
cette alerte trop à la légère et
apporte des indications précieuses aux administrateurs
pour parer à une éventuelle forme plus
maligne de ce ver.
Attention
aux installations par défaut
Initialement
découvert le 20 novembre par Douglas P.
Brown, consultant en sécurité à
l'université de Caroline du Nord aux Etats-Unis,
CBlade ne portait au départ aucun nom particulier.
La première
alerte officielle parue en date,
diffusée sur Incidents.org (le portail du SANS
Institute), a fait état d'un ver scannant le
port TCP/IP 1433, qui sert à l'écoute
des requêtes SQL Server sous forme de procédures
stockées et étendues. Si celui-ci est
ouvert, il tente d'éxécuter la commande
XP_CMDSHELL pour ouvrir une session DOS en vue de récupérer
deux fichiers sur un FTP et de les lancer sur ce serveur.
Au cas où la démarche réussit,
une connexion est établie sur un canal IRC sous
un pseudonyme choisi dans une liste préétablie.
Le hacker n'a plus qu'à se servir du ver comme
d'un cheval de Troie et lancer, par exemple, des attaques
de déni de service.
En attendant, plusieurs facteurs entament sérieusement
la réussite de ce ver. "Il s'attaque aux
configurations où l'administrateur n'a pas précisé
de mot de passe", explique Renaud Bidou, co-fondateur
et directeur des opérations du prestataire de
sécurité Intexxia,
qui s'exprime au nom des recherches effectuées
par son "pôle Microsoft". "D'autre
part, il faut que la commande XP-CMDSHELL ne soit pas
sécurisée. Et enfin, il faut que l'authentification
soit en mode mixte. Ces trois facteurs concernent l'installation
par défaut de la version 6.5 de SQL Server mais
pas de la 7.0 qui n'a pas le mode mixte enclenché.
Et en plus, les flux SQL Server doivent pouvoir être
éxécutés depuis l'extérieur."
Un code pas si récent,
mais une exploitation nouvelle
Mais aussi, pour pouvoir se propager, ce
ver a besoin du serveur FTP identifiable à l'aide
d'une IP fixe, ou d'un site web pour certaines variantes.
Et sitôt découvertes, les adresses peuvent
être mises hors d'état de nuire. Déjà
relativement peu dangereux, CBlade est donc un "proof
of concept, un petit code pour prouver la faisabilité
de l'exploit" précise Renaud Bidou. "Et
il n'est pas si nouveau que cela, puisque son moteur
est déjà connu. Baptisé Kaiten,
il est une version retravaillée de Knight qui
était apparu en mai 2000 et s'est servi en décembre
2000 de la vulnérabilité Bind sous Unix.
Si les auteurs avaient voulu faire du mal, ils se seraient
servi de logiciels plus répandus." En tout
cas, même si son noyau n'est pas nouveau, CBlade
exploite deux tendances : le détournement d'un
serveur de bases de données, et l'installation
par défaut d'un système. Sur ce dernier
point, l'administrateur peut intervenir. A bon entendeur.
Au sommaire du Dossier
"Virus, vers et trojans"
|