Vous êtes sur le site public du Cert-IST
Analyse des tendances des dernières attaques publiées par le CERT/CC

Date :22 Juin 2005

Publication: Article

Le quatrième bilan trimestriel de l'année 2003 (CS-2003-04) du CERT-CC (disponible à l'adresse http://www.cert.org/summaries/CS-2003-04.html) fait apparaître les dernières tendances d'attaques rencontrées ces derniers mois. Dans cet article, les failles sont traitées dans l'ordre de fréquence des incidents analysés par le CERT/CC.

  • Les variantes du ver "Mimail":

La variante initiale du ver "Mimail" (CERT-IST/AV-2003.249) est apparue début août sur Internet. Ce ver se propage par messagerie (via son propre moteur SMTP) et provoque un envoi massif de données vers des serveurs Web sur Internet (attaque de type "Déni de Service").

Début novembre, une variante de ce ver, appelée "Mimail.c", a été recensée de façon importante en France. L'avis Cert-IST a été mis à jour pour prendre en compte cette variante.

D'autres variantes de Mimail sont apparues depuis l'arrivée de "Mimail.c" (par exemple : "Mimail.d", "Mimail.e"). Ces nouvelles variantes ont des caractéristiques similaires à "Mimail.c".

Parmi ces variantes, "Mimail.i" et "Mimail.j" cherchent à voler les coordonnées bancaires des utilisateurs de "Paypal" (système de paiement électronique). Le ver se propage, comme sa souche, par e-mail et demande à la victime de saisir ses coordonnées bancaires à travers une application jointe à l'e-mail malicieux (ingénierie sociale). Le Cert-IST a émis une information sur ce sujet dans sa liste "Virus-Coord".

Les dernières variantes de "Mimail" sont les variantes "Mimal.k", "Mimal.l" et "Mimal.m".

Un débordement de pile a été découvert dans le service "Workstation" de Microsoft Windows 2000 et XP ("WKSSVC.DLL"). Par l'envoi d'un message RPC approprié, un attaquant distant peut exploiter cette faille pour exécuter un code arbitraire sur une machine vulnérable avec les privilèges "SYSTEM". Il peut en résulter à court terme une prise de contrôle totale de la machine.

De multiples vulnérabilités ont été découvertes dans Microsoft Windows et Microsoft Exchange, la plus grave d’entre elles pouvant permettre à un attaquant distant d’exécuter du code arbitraire sur le système.

Plusieurs vulnérabilités ont été découvertes dans les composants SSL et TLS d'OpenSSL versions 0.9.6 et 0.9.7. Elles permettent à une personne malveillante de provoquer à distance un déni de service SSL.

De nombreuses tentatives d’attaques ont été signalées concernant l’exploitation de la vulnérabilité décrite dans l’avis CERT-IST/AV-2003.267. Le Cert-IST a ré-émis cet avis (version 2.0) pour signaler la parution sur Internet d'informations techniques permettant d'exploiter la faille.

Le ver "Swen" (CERT-IST/AV-2003.295) est apparu mi-septembreseptembre sur Internet et a impacté faiblement notre communauté. Le Cert-IST a émis plusieurs informations sur ce sujet dans sa liste "Virus-Coord".

"Swen" est un ver informatique qui se propage :

    • sous la forme d'un e-mail anglais semblant provenir du support Microsoft et proposant un correctif de sécurité,

      • Lorsque l'e-mail ainsi reçu est lu sur un client de messagerie de type Outlook, le ver utilise une vieille vulnérabilité de ce client (avis CERT-IST/AV-2001.092) afin de s'exécuter sur le système de manière automatique sans le consentement de l'utilisateur.

    • via les canaux de IRC (conversation temps réel),

    • via les réseaux d'échange de fichiers de type KaZaA,

    • ou enfin via les réseaux Microsoft (partages réseau).

Une fois installé, "Swen" désactive et empêche le redémarrage des anti-virus et gardes-barrières personnels présents sur le système. Il notifie également le serveur web "ww2.fce.vutbr.cz"de l'infection (l'adresse IP de ce serveur est : 193.86.103.74).

Nota : "Swen" est également connu sous le nom de "Gibe-F ".

Deux débordements de pile ont été découverts dans le serveur de messagerie Sendmail versions 8.12.9 et antérieures sous Linux/Unix. Ils peuvent permettre à un attaquant distant, qui enverrait un e-mail spécifique, d'exécuter du code arbitraire sur le système avec les privilèges du serveur Sendmail (en général les privilèges "root") ou de créer un déni de service de Sendmail.

Une vulnérabilité a été découverte dans le serveur OpenSSH sous les systèmes Unix et Linux. Cette vulnérabilité est due à une mauvaise gestion de la mémoire utilisée pour traiter les paquets réseau reçus : lors de la réception d'un paquet très grand, OpenSSH désalloue plus de mémoire qu'il n'avait alloué, ce qui provoque une "erreur fatale". Cette vulnérabilité permet à un attaquant distant, via des paquets spécifiques, de créer un déni de service sur le démon SSH.

Trois nouvelles vulnérabilités ont été découvertes dans le service réseau "RPCSS" (Remote Procedure Call - Server Service) des systèmes "Microsoft Windows" NT 4.0, 2000, XP et 2003. Ces vulnérabilités ont été identifiées dans le service "RPCSS" :

    • la première provoque un déni de service, qui rend le service RPC indisponible sur la machine affectée. De ce fait, la machine devient instable et peut nécessiter un redémarrage.

    • les deux autres sont des erreurs de type "débordements de mémoire", qui peuvent permettre à un attaquant distant de prendre le contrôle sur la machine affectée (exécution d'un code arbitraire avec les privilèges "SYSTEM").

Un attaquant distant peut activer l'une de ces 3 vulnérabilités en envoyant des paquets réseaux "malicieux" vers le service "RPCSS" de la machine vulnérable. A ce jour, ces vulnérabilités n’ont pas donné lieu à de nouvelles infections similaires à celles vues avec le ver "Blaster".