Vous êtes sur le site public du Cert-IST
Microsoft SQL Server et compte administrateur "sa"

Date :27 Juillet 2005

Publication: Article

Microsoft SQL Server et compte administrateur "sa"

Comme déjà aperçu dans la partie " Failles n'ayant pas fait l'objet d'avis " du bulletin n°34 de Juillet avec la vulnérabilité du compte administrateur de MSDE, il a été découvert également que, dans certaines circonstances, les versions de Microsoft SQL Server 7.0 et antérieures possédaient un compte " sa " ayant les privilèges d’administration de la base de données sans mot de passe.

Le compte " sa " n’est présent sur le système que lorsque le mode d’authentification Mixed Mode est configuré (authentification de type Windows NT - basé sur le mécanisme de challenge/réponse - OU par identifiant/mot de passe). Dans ce cas là, l’utilisateur doit configurer lui-même un mot de passe.

Ce type d’authentification est fourni pour des problèmes de compatibilité avec d’anciennes versions de MSQL ou lorsque MSQL 7.0 est installé sur Windows 9x.

Les ouvrages concernant la sécurité des serveurs MSQL préconisent l’utilisation de la méthode d’authentification de type Windows NT de préférence à celle de type Mixed Mode (Voir White Paper de Microsoft sur la sécurité des serveur MSQL : http://www.microsoft.com/technet/SQL/Technote/secure.asp).

Ce problème est néanmoins corrigé dans les version 2000 de Microsoft SQL.

Si le type d’authentification utilisé sur le serveurs MSQL est le type Mixed Mode, le CERT-IST recommande d’assigner un mot de passe complexes au compte "sa".
   o A partir de SQL query : exec sp_password null, [mot de passe], sa.

De plus, il est conseillé de filtrer le trafic à destination du serveur SQL sur le port 1433 sur les équipements d’interconnexions reliés à Internet.