Exemples et descriptions de diverses vulnérabilités fréquentes

Microsoft Windows, le système d’exploitation le plus utilisé sur les systèmes connectés à Internet, contient de nombreuses vulnérabilités qui peuvent être très graves. Celles qui sont le plus souvent exploitées se trouvent dans IIS, MS-SQL, Internet Explorer, ainsi que dans les serveurs de fichiers et les services de messagerie du système d’exploitation lui-même.

IIS contient une vulnérabilité, expliquée dansle bulletin de sécurité MS01-033 de Microsoft, qui est l’une des plus exploitées sur Windows. Pendant des années, de nombreux vers de réseau ont été écrits pour l’exploiter, dont  » CodeRed « . Détecté pour la première fois le 17 juillet 2001, ce ver pourrait avoir infecté plus de 300 000 cibles. CodeRed a perturbé un grand nombre d’entreprises et a entraîné d’énormes pertes financières dans le monde entier. Bien que Microsoft ait publié un patch pour remédier à cette vulnérabilité dans son bulletin de sécurité MS01-033, plusieurs versions du ver CodeRed se propagent encore sur Internet.

Le ver de réseau Spida, détecté près d’un an après la propagation de CodeRed, utilisait une exposition dans le serveur MS-SQL pour se propager. Certaines installations par défaut du serveur MS-SQL ne comportaient pas de mot de passe pour protéger le compte administrateur du système. Ainsi, n’importe qui avec un accès réseau au système pouvait exécuter des commandes aléatoires. Avec cette exposition, le ver crée un compte  » invité  » pour permettre le partage de fichiers, avant de se télécharger lui-même sur le système cible. Il utilise ensuite le même compte administrateur du système MS-SQL sans mot de passe pour lancer une copie à distance de lui-même, et ainsi diffuser l’infection.

Le ver de réseau Slammer, détecté fin janvier 2003, utilisait une méthode encore plus directe pour infecter les systèmes Windows sous serveur MS-SQL : une vulnérabilité de dépassement de tampon dans l’un des sous-programmes de traitement des paquets UDP. Du fait de sa taille relativement petite (376 octets) et de son utilisation de l’UDP (un protocole de télécommunication conçu pour une transmission rapide des données), Slammer s’est propagé d’une manière incroyablement rapide. Certains estiment que Slammer s’est propagé dans le monde entier en seulement 15 minutes, infectant environ 75 000 ordinateurs.

Ces trois vers tristement célèbres reposaient sur des vulnérabilités et des expositions que comportaient des logiciels sous différentes versions de Microsoft Windows. Cependant, le ver Lovesan, détecté le 11 août 2003, utilisait un dépassement de tampon encore plus grave dans un composant noyau de Windows pour se propager. Cette vulnérabilité est expliquée dans le bulletin de sécurité MS03-026 de Microsoft.

Le ver Sasser, apparu début mai 2003, exploitait une autre vulnérabilité d’un composant noyau, cette fois dans le service LSASS (Local Security AuthoritySubsystem Service). Les informations sur cette vulnérabilité ont été publiées dans le bulletin de sécurité MS04-011 de Microsoft. Sasser s’est propagé rapidement et a infecté des millions d’ordinateurs dans le monde entier, entraînant un coût très élevé pour les entreprises touchées. De nombreuses organisations et institutions furent obligées de suspendre leurs opérations à cause des perturbations provoquées par le ver sur le réseau.

Malheureusement, tous les systèmes d’exploitation contiennent des vulnérabilités et des expositions, qui peuvent être prises pour cible par des hackers et des auteurs de virus. Même si les vulnérabilités de Windows sont les plus connues en raison du grand nombre de machines qui fonctionnent sous ce système, Unix possède ses propres points faibles.

Pendant des années, la commande « finger » sur Unix constituait l’une des expositions les plus connues de ce système d’exploitation. Cette commande permet à quelqu’un en dehors d’un réseau de voir les utilisateurs qui sont connectés à une machine ou de savoir depuis quel endroit les utilisateurs accèdent à l’ordinateur. La commande « finger » est pratique, mais elle expose aussi un grand nombre d’informations susceptibles d’être utilisées par des hackers.

Voici à quoi ressemble le rapport d’une commande « finger » à distance :

Login     Name       TtyIdle  Login Time   Office         Office Phone
xenon                pts/7   22:34  May 12 16:00 (chrome.chiba)
polly                pts/3      4d  May  8 14:21
cracker  DarkHacker  pts/6      2d  May 10 11:58

Cela nous montre des choses intéressantes sur la machine à distance qui utilise la commande « finger » : trois utilisateurs sont connectés, mais deux d’entre eux sont absents depuis au moins deux jours, alors que le troisième est absent depuis 22 minutes. Les noms d’utilisateur, que permet de voir la commande « finger », peuvent être utilisés pour essayer des combinaisons « nom d’utilisateur/mot de passe ». Cela peut rapidement compromettre le système, surtout si les utilisateurs ont créé leurs mots de passe à partir de leur nom d’utilisateur, ce qui est une pratique assez courante.

Non seulement la commande « finger » expose des informations importantes sur le serveur qui l’héberge, mais elle a aussi été la cible de nombreux exploits, notamment du fameux ver de réseau écrit par Robert Morris Jr et diffusé le 2 novembre 1988. Par conséquent, cette commande est désactivée sur les versions plus modernes d’Unix.

Le programme « Sendmail », écrit à l’origine par Eric Allman, constitue une autre cible largement utilisée par les hackers. « Sendmail » a été développé pour traiter le transfert des e-mails sur Internet. En raison du grand nombre de systèmes d’exploitation et de configurations de hardware, « Sendmail » est devenu un programme extrêmement complexe, qui possède un lourd passé de vulnérabilités graves. Le ver Morris utilisait un exploit de « Sendmail », ainsi qu’une vulnérabilité de la commande « finger », pour se propager.

Il existe beaucoup d’autres exploits connus sousUnix qui ciblent des paquets comme SSH, Apache WU-FTPD, BIND, IMAP/POP3 et diverses parties du noyau.

Les exploits, les vulnérabilités et les incidents cités précédemment mettent en lumière un fait important. Alors que les systèmes sous IIS, MS-SQL et d’autres paquets se comptent par centaines de milliers, le nombre total de systèmes sous Windows est probablement plus proche de centaines de millions. Si toutes les machines étaient prises pour cible par un ver ou un hacker utilisant un outil de piratage, cela représenterait une menace extrêmement grave pour la structure interne et la stabilité d’Internet.