Vous êtes sur le site public du Cert-IST
Bilan trimestriel du CERT/CC

Date :29 Juin 2005

Publication: Article

Le deuxième bilan trimestriel de l'année 2002 (CS-2002-02) du CERT-CC (disponible à l'adresse http://www.cert.org/summaries/) fait apparaître les dernières tendances d'attaques rencontrées ces derniers mois :

  • Vulnérabilités dans Microsoft SQL Server : Depuis le 21 mai 2002, un ver (nommé "Spida") se propage sur Internet. Ce ver attaque les systèmes Windows sur lesquels le serveur de bases de données Microsoft SQL Server est présent. "Spida" recherche les machines cibles en scannant les ports 1433 (port utilisé par défaut par MS-SQL-Server), et essaie de se connecter aux machines ainsi identifiées, en utilisant le compte SQL "sa" et un mot de passe vide. Sur certaines installations de MS-SQL-Server, ce compte est en effet installé par défaut sans mot de passe. Le ver va ensuite s'installer sur les machines vulnérables, et se propager à partir de ces plates-formes compromises.

"Spida" envoie par la suite diverses informations récoltées sur le système vers un compte e-mail.

  • Vulnérabilité dans le contrôle ActiveX MSN Chat control : MSN Chat Control est un contrôle ActiveX utilisé pour fournir des fonctionnalités de conversation en temps réel. Il est présent avec MSN Messenger et Exchange Instant Messenger. Un débordement de pile a été découvert dans ce contrôle ActiveX permettant à un attaquant d'exécuter du code arbitraire avec les privilèges de l'utilisateur de MSN. Le Cert-IST considère que les produits de conversation en temps réel ("chat") sont non sûrs par essence et a donc décidé de ne pas faire d'avis sur le sujet (voir la section "Failles n'ayant pas fait l'objet d'avis").

 

  • Vulnérabilité de type "format string" dans le serveur DHCP de ISC : Le protocole DHCP (Dynamic Host Configuration Protocol) permet d'allouer dynamiquement des adresses IP aux machines qui en ont besoin. Une vulnérabilité de type "format string" a été découverte dans la journalisation des transactions avec un serveur de noms (option "NSUPDATE", activée par défaut) par le serveur DCHP version 3.0 et supérieures. Elle permet à un attaquant d'exécuter du code arbitraire avec les privilèges de serveur DHCP, généralement "root".

 

  •  Débordement de pile et déni de service dans le démon "cachefsd" sous Solaris : Pour fiabiliser les partages de disques au travers du réseau (partage NFS par exemple), Solaris dispose d'une fonctionnalité appelée "CacheFS", permettant à un client NFS de conserver dans un fichier local (fichier "cache") les données provenant d'un serveur NFS distant. Un débordement de pile a été découvert dans le démon "cachefsd" sous Solaris 2.5.1, 2.6, 7 et 8. Il peut permettre à un utilisateur local ou distant d'exécuter du code arbitraire, et d'obtenir les privilèges "root". Un déni de service a également été découvert dans le démon "cachefsd" sous Solaris 2.6, 7 et 8. En effet, ce programme ne gère pas correctement certaines requêtes RPC ("Remote Procedure Call"), et une requête RPC incorrecte peut entrainer l'arrêt brutal de "cachefsd".

 

  • Multiples vulnérabilités sous Microsoft IIS : Plusieurs débordements de pile, dénis de services et vulnérabilités de type "Cross-Site Scripting" ont été découverts sous IIS 4.0, 5.0 et 5.1. Microsoft a publié un "patch cumulatif" corrigeant ces vulnérabilités et reprenant également tous les correctifs de sécurité IIS 4.0 depuis le SP6a de Windows NT 4.0 et tous les correctifs de sécurité IIS 5.0 et 5.1.

 

  • Multiples vulnérabilités dans les serveurs Oracle : Plusieurs vulnérabilités (débordements de pile, problèmes de configuration, mauvais contrôle d'accès et mauvaises validations d'entrée) ont été découverts dans les serveurs d'application Oracle. Elles peuvent entraîner une exécution de code arbitraire, un déni de service, ou un accès non autorisé à des informations sensibles. Les trois avis Cert-IST cités ci-dessous correspondent aux alertes Oracle mentionnées dans l'avis du Cert/CC. Depuis sa parution, deux autres avis concernant les serveurs d'application Oracle ont été publiés par le Cert-IST (CERT-IST/AV-2002.128 et CERT-IST/AV-2002.129).

 

  • Attaques de type  "Social Engineering" via les IRC et Instant Messaging : Le CERT/CC a reçu de nombreux rapports d'attaques par "Social Engineering" (ingénierie sociale) sur les utilisateurs des services IRC (Internet Relay Chat) et IM (Instant Messaging). Ces attaques piègent les utilisateurs trop confiants qui vont télécharger et exécuter du code malicieux, et permettre ainsi aux attaquants d'utiliser leur système pour lancer des attaques de type DDoS (dénis de service distribués).