|
| |
| SECURITE |
| 17 jours après le patch Microsoft, Sasser frappe le réseau |
| Le ver fonctionne par déni de service et se propage de machine en machine. Posséder un pare-feu ou patcher Windows sont les seules protections valables contre ce nouveau virus d'une dangerosité moyenne.
(04/05/2004) |
|
Le ver Sasser s'est déclaré vendredi 30 avril en fin de soirée
et exploite une fois de plus une vulnérabilité du système
d'exploitation Windows (versions XP et 2000). Ce ver ne se propage pas par messagerie
électronique mais par le réseau (on parle de "ver Internet").
Il recherche de manière aléatoire des adresses IP et exploite la
vulnérabilité dès qu'il reçoit une réponse.
Il en est déjà à trois versions différentes (Sasser
C vient d'être annoncé).
"Il se développe d'une machine à une autre, selon le principe du Peer to
Peer, sans intervention de l'utilisateur. Après avoir scanné les
adresses IP et exploité la vulnérabilité du système, il provoque
un buffer overflow [NDLR : saturation de la mémoire tampon]",
précise Teddy Lacerda, directeur technique Europe de l'ouest chez Network
Associates.
L'effet
le plus gênant est le redémarrage continuel de la machine infectée,
toutes les 60 ou 90 secondes. "La seule façon de se protéger
est de posséder un pare-feu personnel ou de patcher Windows. Mais vu la
rapidité de progression du ver, force est de constater que nombre d'entreprises
ne patchent pas régulièrement Windows !", déclare Eric
Beaurepaire, directeur marketing et communication de la division entreprise chez
Symantec.
Une fois infecté, et face à un redémarrage perpétuel
qui empêche de télécharger le patch de Microsoft, que faire
? "Sur Windows XP, il faut activer activer le firewall. Sur Windows 2000,
quand la fenêtre de pop-up arrive, tapez shutdown -A en ligne de commande,
depuis le menu Démarrer / Exécuter. Cela empêchera le redémarrage
de Windows qui est en fait une protection contre les dénis de service",
conseille Cyril Leclerc, consultant sécurité chez XP
Conseil.
La genèse de ce ver remonte au 8 octobre 2003, date à laquelle la
vulnérabilité est découverte par la société EEYE et communiquée
à Microsoft. Ce dernier diffuse un patch le 13 avril 2004 qui corrige de
multiples vulnérabilités dont celles portant sur ISS SSL, Utility Manager et LSASS.
"Dès le 16 avril, la première exploitation locale de la vulnérabilité
"LSASS", utilisée par Sasser, survient. Le 24 avril, c'est l'exploitation à
distance qui est possible et le 29 avril, l'exploitation universelle (pour tout
type de système d'exploitation) est créée. Le 30 avril à
minuit, les premières manifestation de Sasser sont détectées",
complète Loup Gronier, directeur des opérations chez XP Conseil, pointant
du doigt la rapidité de plus en plus grande avec laquelle les failles,
dès qu'elles sont publiées, sont exploitées sous formes de
virus.
Le ver progresse vite mais n'atteint cependant pas la cadence de certains de ces
prédécesseurs, comme Mydoom. "Dimanche soir, nous en étions
à 150 soumissions par heure pour Sasser, alors que Mydoom avait un rythme
de 350 soumissions par heure au même moment quand il est sorti", conclut
Eric Beaurepaire, de Symantec.
Pas d'alarmisme donc même s'il y a nécessité absolue de patcher
Windows pour éviter tout désagrément présent ou futur,
un déni de service du réseau de l'entreprise pouvant être
un désagrément non négligeable... |
|
|
 |
Dossier 
