Vous êtes sur le site public du Cert-IST
Bilan trimestriel du CERT/CC

Date :23 Juin 2005

Publication: Article

Le premier bilan trimestriel de l'année 2003 (CS-2003-01) du CERT-CC (disponible à l'adresse http://www.cert.org/summaries/) fait apparaître les dernières tendances d'attaques rencontrées ces derniers mois. Dans cet article, les failles sont traitées dans l'ordre de fréquence des incidents analysés par le CERT/CC, et vous pourrez remarquer la différence de traitement entre le CERT/CC et le Cert-IST, avec 2 des "avis" du CERT/CC qui ont fait l’objet d’articles dans les bulletins de sécurité du Cert-IST, et un avis classé par le Cert-IST comme failles officielles non émises dans le bulletin.

  • Débordement de pile dans le composant "WebDAV" :

Un débordement de pile a été découvert dans le composant "WebDAV" de Microsoft IIS 5.0 sur Microsoft Windows 2000. Il permet à un attaquant distant, en envoyant des requêtes HTTP spécifiques vers un serveur IIS vulnérable, d'exécuter du code arbitraire avec les privilèges du "LocalSystem" ou de créer un déni de service sur le serveur IIS 5.0.

Un débordement de pile a été découvert dans le traitement des en-têtes des e-mails lors des transactions SMTP par le serveur de messagerie Sendmail versions 8.12.7 et antérieures. Il permet à un attaquant distant, en envoyant un message contenant un champ d'adresse spécifique, de faire exécuter du code arbitraire avec les privilèges du démon Sendmail (généralement "root").

Depuis Windows 2000, le port 445 (TCP et UDP) est utilisé par Windows pour le service SMB (service de partage de fichier/imprimante, également appelé CIFS par Microsoft). Sous Windows NT, ce service SMB était uniquement accessible sur les ports Netbios classiques (ports 137 à 139).

On observe actuellement un nombre croissant de tentatives d'attaques sur ce port. Par exemple, le ver "Lioten", qui s'est propagé en décembre 2002, visait ce port. Ce mois-ci, le ver "Deloder", exploitant la même vulnérabilité, a fait l'objet d'un avis et d'un message dans le forum Virus-Coord.

La plupart de ces attaques sont triviales (connues depuis longtemps), mais elles restent apparemment très efficaces, si l'on en juge par le nombre d'intrusions de ce type rapportées. Il faut dire que les configurations par défaut restent peu protégées par rapport à ce type de vulnérabilité.

Un débordement de pile a été découvert dans le démon du serveur de partage de ressources Samba ("smbd") versions 2.2.x à 2.2.7 sous Linux/Unix. Il permet à un attaquant distant en envoyant des paquets "SMB/CIFS" malicieux d'obtenir les privilèges administrateur sur le serveur Samba.

Le ver "Slammer" attaque les systèmes Windows 2000 sur lesquels Microsoft SQL-Server est présent. En effet, "Slammer" exploite un débordement de pile présent dans le service de résolution de Microsoft SQL-Server (Cf. avis CERT-IST/AV-2002.254a) pour exécuter du code arbitraire sur les serveurs SQL vulnérables.

Une fois une machine compromise, le ver génère des adresses IP aléatoires et envoie des paquets d'attaque vers le port UDP 1434 de ces dernières. Si un serveur SQL vulnérable reçoit ce paquet, le code peut de nouveau être exécuté et le ver continue à se propager.

Ce mécanisme provoque un trafic réseau conséquent, et entraine une saturation des machines ou réseaux visés.

Le protocole "SIP" ("Session Initiation Protocol"- RFC3261) est un protocole utilisé dans le cadre de la téléphonie sur Internet, la voix sur IP (Voice over IP), la messagerie instantanée, etc. "SIP" permet d'initialiser des connexions entre utilisateurs. Dans le cadre du projet PROTOS, projet testant les implémentations des différents protocoles de communication, le groupe finlandais "Oulu University Secure Programming Group" (OUSPG) a testé les implémentations du protocole "SIP".

Des vulnérabilités ont été découvertes sur la gestion du message "INVITE" que les agents et relais "SIP" utilisent pour accepter l'initialisation des sessions "SIP". L'exploitation de ces vulnérabilités peut, selon les équipements impactés, soit entraîner un déni de service de l'équipement implémentant le protocole "SIP" ou, dans certains cas particuliers, permettre un accès illégitime sur les systèmes impactés.

Une vulnérabilité a été découverte dans l'implémentation du serveur SSH des équipements :
- Cisco utilisant le système d'exploitation Cisco IOS 12.x,
- Alcatel OmniSwitch 6600, 7000 et 8000 utilisant le système AOS 5.1.3,
- Nortel Passport 8000 utilisant le système 3.2 et 3.3,
- HP Tru64 UNIX V5.1a et HP OpenVMS utilisant SSH V2.4.1.
Elle permet à un attaquant distant, via des paquets SSH spécifiques, de créer un déni de service de l'équipement.

Un débordement de pile a été découvert dans la gestion des fichiers audio de type MP3 et WMA par le gestionnaire du bureau Windows ("Windows Shell") de Windows XP Home Edition, Professional, Tablet PC Edition et Media Center Edition. Il permet à un fichier audio spécifique disponible :
- via un site web malicieux,
- via un e-mail au format HTML,
- via un partage réseau,
d'exécuter du code arbitraire avec les privilèges de l'utilisateur connecté.

Une vulnérabilité a été découverte dans l'outil de contrôle de versions de logiciels "CVS". Elle permet à un utilisateur de l'outil :
- d'exécuter du code arbitraire sur le système,
- de lire des fichiers sur ce dernier,
- de créer un déni de service du serveur "CVS",
- d'altérer le contenu du serveur.

Le Cert-IST avait estimé que ce produit était trop spécifique pour en faire un avis.

Un débordement de pile a été découvert dans le service "Locator" des systèmes Microsoft Windows NT 4.0, 2000 et XP. Il permet à un attaquant distant, via des requêtes spécifiques vers ce service, de provoquer un arrêt brutal du service "Locator" ou d'exécuter du code arbitraire sur le système.