SQL Server 7 de Microsoft
est sous le feu d'un nouveau ver qui se propage vite :
incidents.org
a relevé 8 700 attaques lundi puis 74 000
mardi. Au total, le site su Security Administration
Networking and Security Institute (SANS) faisait état
hier de 2 450 serveurs infectés par le ver
SQLSnake. Une fois de plus, la bataille des noms fait
rage, puisqu'une dizaine d'appellations coexistent en
attendant la normalisation. Parmi les noms de baptême
utilisés par les édtieurs d'antivirus,
'Spida' et 'digispeed' sont souvent mentionnés
à côté de SQLSnake. La cible de
ce nouveau ver : la version 7 de Microsoft SQL
Server et aucune autre version selon Microsoft. La date
de naissance du ver : lundi dernier.
Le danger principal
est la fuite d'informations. Le ver envoie à
une mystérieuse adresse mail l'adresse IP de
la base de données quand elle est publique, ainsi
que son mot de passe, dévoilant ainsi l'intégralité
des informations contenues sur le serveur aux regards
indiscrets du pirate. SQLSnake n'est toutefois pas destructif.
Progression
relativement lente
Selon
Damase Tricart, chef de produit chez Symantec,
l'édtieur de Norton Antivirus, "la progression
du ver sera exponentielle, comme celle de tous les vers.
Mais la courbe
d'expansion
du nouveu ver devrait être beaucoup plus plate
que celle de Nimdia et de Code Red : le nombre
des serveurs menacés est beaucoup plus limité,
et au final la menace peut être qualifiée
de relativement faible". En effet, la condition
sine qua non de l'infection selon Microsoft est de n'avoir
pas mis de mot de passe sur le compte administrateur,
et de faire tourner le serveur dans ce même mode
administrateur. Ce qui n'est possible que sous la version
7 de SQL Server, puisque c'est la seule à proposer
par défaut une installation sans mot de passe.
"Ces deux conditions se rencontrent rarement :
le bon sens impose de mettre un mot de passe sur n'importe
quel serveur". Pourtant, les 2 450 infections
recensées par Incidents.org, et les 5 000
infections repérées par Symantec montrent
que bon nombre d'administrateurs n'ont pas encore le
réflexe essentiel du mot de passe. Il est grand
temps pour eux de réagir.
Comment SQLSnake
procède-t-il ? Le ver, qui est écrit en
JScript s'inflitre via le port 1433. Il est composé
de deux éxécutables et d'un fichier batch.
Une fois infiltré sur un système, il prend
le contrôle du compte administrateur et crée
un autre compte utilisateur. Il change également
le mot de passe du compte principal. Par la suite, il
expédie le mot de passe et l'adresse IP du serveur
à une boîte aux lettres qui appartient
selon toute vraisemblance au pirate.
Que
faire ?
Pour protéger SQL Server 7, il y a quatre étapes
à respecter. "Evidemment, il faut mettre
un mot de passe sur tous
les comptes quand il n'y en a pas. C'est indispensable
pour lutter contre ce ver et contre
tous les autres. Il faut aussi éviter de faire
tourner SQL Server 7 en mode administrateur. Dans un
troisième temps je conseille de mettre à
jour son antivirus, et de bloquer le port 1433 s'il
n'est pas utile au serveur, comme c'est parfois le cas".
Microsoft détaille toutes ces procédures
à cette adresse.
Microsoft est-il
une fois de plus coupable ? Il semble cette fois-ci
que la progression du ver est liée au laxisme
de certains administrateurs. Car il faut le répéter :
la définition d'un mot de passe et le suivi régulier
des patchs est élémentaire si l'on souhaite
éviter de mauvaises surprises. Pour preuve :
un correctif publié en avril par Microsoft met
le SQL Server 7 hors de portée de SQLSnake. Ce
qui devrait inciter les administrateurs à patcher
régulièrement leurs serveurs, surtout
depuis que Microsoft a développé des outils
qui rendent la tache plus facile.
|