SQLSnake
infecte les serveurs SQL mal configurés
Par le JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0205/020523_sqlsnake.shtml
Jeudi 23 mai 2002
SQL Server 7 de Microsoft
est sous le feu d'un nouveau ver qui se propage vite : incidents.org
a relevé 8 700 attaques lundi puis 74 000 mardi.
Au total, le site su Security Administration Networking and Security
Institute (SANS) faisait état hier de 2 450 serveurs
infectés par le ver SQLSnake. Une fois de plus, la bataille
des noms fait rage, puisqu'une dizaine d'appellations coexistent
en attendant la normalisation. Parmi les noms de baptême utilisés
par les édtieurs d'antivirus, 'Spida' et 'digispeed' sont
souvent mentionnés à côté de SQLSnake.
La cible de ce nouveau ver : la version 7 de Microsoft SQL
Server et aucune autre version selon Microsoft. La date de naissance
du ver : lundi dernier.
Le danger principal est la fuite
d'informations. Le ver envoie à une mystérieuse adresse
mail l'adresse IP de la base de données quand elle est publique,
ainsi que son mot de passe, dévoilant ainsi l'intégralité
des informations contenues sur le serveur aux regards indiscrets
du pirate. SQLSnake n'est toutefois pas destructif.
Progression
relativement lente
Selon Damase Tricart,
chef de produit chez Symantec,
l'édtieur de Norton Antivirus, "la progression du ver
sera exponentielle, comme celle de tous les vers. Mais la courbe
d'expansion
du nouveu ver devrait être beaucoup plus plate que celle de
Nimdia et de Code Red : le nombre des serveurs menacés
est beaucoup plus limité, et au final la menace peut être
qualifiée de relativement faible". En effet, la condition
sine qua non de l'infection selon Microsoft est de n'avoir pas mis
de mot de passe sur le compte administrateur, et de faire tourner
le serveur dans ce même mode administrateur. Ce qui n'est
possible que sous la version 7 de SQL Servur, puisque c'est la seule
à proposer par défaut une installation sans mot de
passe. "Ces deux conditions se rencontrent rarement :
le bon sens impose de mettre un mot de passe sur n'importe quel
serveur". Pourtant, les 2 450 infections recensées
par Incidents.org, et les 5 000 infections repérées
par Symantec montrent que bon nombre d'administrateurs n'ont pas
encore le réflexe essentiel du mot de passe. Il est grand
temps pour eux de réagir.
Comment SQLSnake procède-t-il
? Le ver, qui est écrit en Javascript s'inflitre via le port
1433. Il est composé de deux éxécutables et
d'un fichier batch. Une fois infiltré sur un système,
il prend le contrôle du compte administrateur et crée
un autre compte utilisateur. Il change également le mot de
passe du compte principal. Par la suite, il expédie le mot
de passe et l'adresse IP du serveur à une boîte aux
lettres qui appartient selon toute vraisemblance au pirate.
Que faire
?
Pour protéger SQL Server 7, il y a quatre étapes à
respecter. "Evidemment, il faut mettre un mot de passe sur
tous les comptes quand il n'y
en a pas. C'est indispensable pour lutter contre ce ver et contre
tous les autres. Il faut aussi éviter de faire tourner SQL
Server 7 en mode administrateur. Dans un troisième temps
je conseille de mettre à jour son antivirus, et de bloquer
le port 1433 s'il n'est pas utile au serveur, comme c'est parfois
le cas". Microsoft détaille toutes ces procédures
à cette adresse.
Microsoft est-il une fois de
plus coupable ? Il semble cette fois-ci que la progression du ver
est liée au laxisme de certains administrateurs. Car il faut
le répéter : la définition d'un mot de
passe et le suivi régulier des patchs est élémentaire
si l'on souhaite éviter de mauvaises surprises. Pour preuve :
un correctif publié en avril par Microsoft met le SQL Server
7 hors de portée de SQLSnake. Ce qui devrait inciter les
administrateurs à patcher régulièrement leurs
serveurs, surtout depuis que Microsoft a développé
des outils
qui rendent la tache plus facile.
[Nicolas Six, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|
|