Sécurité
SQLSnake infecte les serveurs SQL mal configurés
Avec le ver SQLSnake, et aussi la participation passive d'un administrateur, un pirate peut accéder à l'intégralité d'une base de données SQL Server 7.  (Jeudi 23 mai 2002)
     

SQL Server 7 de Microsoft est sous le feu d'un nouveau ver qui se propage vite : incidents.org a relevé 8 700 attaques lundi puis 74 000 mardi. Au total, le site su Security Administration Networking and Security Institute (SANS) faisait état hier de 2 450 serveurs infectés par le ver SQLSnake. Une fois de plus, la bataille des noms fait rage, puisqu'une dizaine d'appellations coexistent en attendant la normalisation. Parmi les noms de baptême utilisés par les édtieurs d'antivirus, 'Spida' et 'digispeed' sont souvent mentionnés à côté de SQLSnake. La cible de ce nouveau ver : la version 7 de Microsoft SQL Server et aucune autre version selon Microsoft. La date de naissance du ver : lundi dernier.

Le danger principal est la fuite d'informations. Le ver envoie à une mystérieuse adresse mail l'adresse IP de la base de données quand elle est publique, ainsi que son mot de passe, dévoilant ainsi l'intégralité des informations contenues sur le serveur aux regards indiscrets du pirate. SQLSnake n'est toutefois pas destructif.

Progression relativement lente
Selon Damase Tricart, chef de produit chez Symantec, l'édtieur de Norton Antivirus, "la progression du ver sera exponentielle, comme celle de tous les vers. Mais la courbe
d'expansion du nouveu ver devrait être beaucoup plus plate que celle de Nimdia et de Code Red : le nombre des serveurs menacés est beaucoup plus limité, et au final la menace peut être qualifiée de relativement faible". En effet, la condition sine qua non de l'infection selon Microsoft est de n'avoir pas mis de mot de passe sur le compte administrateur, et de faire tourner le serveur dans ce même mode administrateur. Ce qui n'est possible que sous la version 7 de SQL Server, puisque c'est la seule à proposer par défaut une installation sans mot de passe. "Ces deux conditions se rencontrent rarement : le bon sens impose de mettre un mot de passe sur n'importe quel serveur". Pourtant, les 2 450 infections recensées par Incidents.org, et les 5 000 infections repérées par Symantec montrent que bon nombre d'administrateurs n'ont pas encore le réflexe essentiel du mot de passe. Il est grand temps pour eux de réagir.

Comment SQLSnake procède-t-il ? Le ver, qui est écrit en JScript s'inflitre via le port 1433. Il est composé de deux éxécutables et d'un fichier batch. Une fois infiltré sur un système, il prend le contrôle du compte administrateur et crée un autre compte utilisateur. Il change également le mot de passe du compte principal. Par la suite, il expédie le mot de passe et l'adresse IP du serveur à une boîte aux lettres qui appartient selon toute vraisemblance au pirate.

Que faire ?
Pour protéger SQL Server 7, il y a quatre étapes à respecter. "Evidemment, il faut mettre un mot de passe sur tous les comptes quand il n'y en a pas. C'est indispensable pour lutter contre ce ver et contre tous les autres. Il faut aussi éviter de faire tourner SQL Server 7 en mode administrateur. Dans un troisième temps je conseille de mettre à jour son antivirus, et de bloquer le port 1433 s'il n'est pas utile au serveur, comme c'est parfois le cas". Microsoft détaille toutes ces procédures à cette adresse.

Microsoft est-il une fois de plus coupable ? Il semble cette fois-ci que la progression du ver est liée au laxisme de certains administrateurs. Car il faut le répéter : la définition d'un mot de passe et le suivi régulier des patchs est élémentaire si l'on souhaite éviter de mauvaises surprises. Pour preuve : un correctif publié en avril par Microsoft met le SQL Server 7 hors de portée de SQLSnake. Ce qui devrait inciter les administrateurs à patcher régulièrement leurs serveurs, surtout depuis que Microsoft a développé des outils qui rendent la tache plus facile.

[Nicolas Six, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY