 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 10 mai 2004
No CERTA-2004-ACT-001 |
Affaire suivie par :
CERTA
Objet : Bulletin d'actualité du 10
mai 2004
Tableau 1: Gestion du document
| Référence |
CERTA-2004-ACT-001 |
| Titre |
Bulletin d'actualité du
10 mai 2004 |
| Date de la première
version |
10 mai 2004 |
| Date de la dernière
version |
- |
| Source(s) |
- |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Le tableau des paquets rejetés (cf. table 2) montre l'activité sur
deux pare-feux configurés pour tout bloquer par
défaut (à l'exception de quelques rares services
comme le DNS, le SMTP et le HTTP qui sont autorisés pour
des serveurs dédiés).
,D,,2 /D//2
Tableau 2: Paquets rejetés
|
- Le port 445/tcp
- , utilisé par les Windows (avec un noyau NT) pour
divers services, est le port le plus recherché. Ceci
s'explique en partie par l'activité de certains vers,
comme Sasser (voir CERTA-2004-ALE-007).
- Le port 135/tcp
- est associé aux services RPC sous Windows. Le
tableau donne le sentiment qu'il y a 4 fois moins de rejets
sur le port 135/tcp que sur le port 445/tcp, mais cela est
dû essentiellement au fait que l'un des deux pare-feux
a une adresse IP chez un fournisseur d'accès ADSL qui
filtre le port 135/tcp en amont. Le trafic à
destination du port 135/tcp n'est, en réalité,
que deux fois moins important que celui à destination
du port 445/tcp. Une vulnérabilité affectant
l'un des services RPC de Windows a largement
été exploitée par le ver
Blaster (voir CERTA-2003-ALE-002).
- Le port 80/tcp
- est encore très sondé. Il correspond au
service HTTP, et est visé par de nombreux vers, tels
que ceux de la famille codered (voir
CERTA-2001-ALE-008) ou encore nimda (voir
CERTA-2001-ALE-013).
- Le port 2745/tcp
- correspond à la porte dérobée
laissée par les différentes versions du ver
Bagle. L'utilisation de cette porte
dérobée fait partie des moyens de propagation
de Phatbot (voir CERTA-2004-ALE-003). L'ouverture de
ce port sur les machines sous Windows signifie probablement
leur compromission.
- Le port 137/udp
- est utilisé par le service de noms Netbios. Il
s'agit là encore d'un port spécifique à
Windows.
- Le port 139/tcp
- est utilisé par Netbios et par Samba.
- Le port 3127/tcp
- correspond à la porte dérobée
ouverte après infection par les différentes
versions du ver MyDoom. Cette porte
dérobée est également exploitée
par Phatbot. Les machines sous Windows avec ce port
en écoute sont très probablement des machines
compromises.
- Le port 6129/tcp
- correspond à Dameware, un outil
d'administration à distance des machines Windows. Une
vulnérabilité -très exploitée- de
Dameware Miniremote (voir CERTA-2003-AVI-214). Cette
vulnérabilité est aussi utilisée par
Phatbot pour se propager. L'outil Dameware
est parfois installé par des intrus, suite à
une compromission, afin de pouvoir facilement se reconnecter
sur les machines compromises (par le biais d'une
vulnérabilité quelconque, autre que celle
affectant Dameware). Des versions vulnérables
de Dameware ont ainsi été
installées sur des machines compromises.
- Les ports 1433/tpc et 1434/udp
- sont utilisés par MS/SQL. Ce service a fait
l'objet de très nombreuses
vulnérabilités exploitées notamment par
deux vers nommés spida et slammer.
Ces vulnérabilités sont assez anciennes (2 ans)
mais sont toujours exploitées.
- Le port 443/tcp
- est utilisé par HTTPS. La publication d'un outil
permettant l'exploitation d'une faille dans le protocole
PCT rendue récemment publique a
provoqué une augmentation des recherches du port
443/tcp.
- Le port 4899/tcp
- est utilisé par radmin, un outil
d'administration à distance.
- Le port 21/tcp
- correspond au service FTP. De nombreuses failles
affectent différentes versions de serveur ftp. Le port
21/tcp est sondé pour exploiter ces failles, mais
aussi pour trouver des serveurs ftp publics permettant le
stockage de fichiers illicites.
- Le port 3389/tcp
- est utilisé par le protocole RDP (Remote Desktop
Protocol). Le but des sondages sur ce port n'est pas
très clair.
- Le port 1080/tcp
- est utilisé par le serveur mandataire
Wingate. Ce port était autrefois
recherché pour être utilisé comme relais
de navigation (permettant ainsi de commettre
éventuellement des actes malveillants avec l'adresse
IP du serveur Wingate plutôt que sa propre adresse IP).
Il correspond aussi à une porte dérobée
laissée par le ver MyDoom.F après
infection, et c'est à ce titre qu'il est sondé
par Phatbot.
- Le port 3128/tcp
- est utilisé par le serveur mandataire
Squid. Il correspond également à une
porte dérobée laissée par certaines
versions de MyDoom, et fait partie des ports
recherchés par Phatbot.
- Le port 111/tcp
- correspond au service sunrpc-portmapper. La
recherche de ce port est typiquement une étape
préparatoire à une compromission par
l'exploitation d'une faille d'un service rpc (par
exemple, rpc.statd dont une faille a
été largement exploitée par le
passé).
- Le port 23/tcp
- correspond au service telnet. Ce service permet
la connexion à distance sur des machines après
authentification. Toutefois, l'utilisation de ce service
facilite le vol des noms de compte utilisateur et des mots de
passe lors de l'authentification, car celle-ci n'est pas
chiffrée.
- Le port 22/tcp
- correspond au service ssh. Ce service permet,
tout comme telnet, de se connecter à distance
sur des machines, mais la connexion est chiffrée, ce
qui garantit une meilleure sécurité. Une
vulnérabilité affectant le service de
détection des attaques a largement été
exploitée par le passé. Cette
vulnérabilité semble toujours être
recherchée.
Le tableau montre que les vulnérabilités assez
anciennes sont toujours recherchées, et probablement
dans certains cas avec succès.
Figure 1: Historique des rejets de
paquets sur le port exploité par le ver SASSER
![\includegraphics[width=\columnwidth]{particulier}](img1.png) |
L'actualité a été marquée par la
propagation du ver Sasser. Ce ver se propage en
exploitant une vulnérabilité connue du service
lsass (port 445/tcp) sous Windows. Il n'existe qu'un
seul moyen efficace de bloquer cette propagation : mettre
à jour les machines. Les contournements provisoires,
tels que la mise en place de règles de filtrage sur le
port 445/tcp au niveau des pare-feux, sont efficaces, à
l'unique condition que ces règles de filtrage ne soient
pas elles-mêmes contournées. Or, il est
fréquent de voir des postes nomades (portables)
être protégés uniquement par des pare-feux
réseau. Les postes nomades sont
généralement voués à être
déplacés, et éventuellement
connectés à des réseaux qui ne sont pas
forcément protégés par des pare-feux bien
configurés. L'activation du pare-feu livré avec
Windows XP est suffisante pour endiguer ce ver.
Néanmoins, il est tout de même recommandé
d'appliquer le correctif de Microsoft, qui corrige de
nombreuses autres vulnérabilités.
L'activité de ce ver se traduit par un triplement du
volume des rejets sur le port 445/tcp.
Tableau 3: Correctifs correspondants aux
ports destination des paquets rejetés
|
|
Alerte CERTA-2001-ALE-008 «Propagation du ver Code
Red» :
http://www.certa.ssi.gouv.fr/site/CERTA-2001-ALE-008
Alerte CERTA-2001-ALE-013 «Propagation du ver/virus
NIMDA (Concept Virus)» :
http://www.certa.ssi.gouv.fr/site/CERTA-2001-ALE-013
Alerte CERTA-2003-ALE-002 «Exploitation d'une faille
de Windows RPC» :
http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-002
Alerte CERTA-2004-ALE-003 «Propagation du ver
Phatbot» :
http://www.certa.ssi.gouv.fr/site/CERTA-2004-ALE-003
Alerte CERTA-2004-ALE-007 «Exploitation de la
vulnérabilité LSASS sous Windows : apparition du
ver Sasser» :
http://www.certa.ssi.gouv.fr/site/CERTA-2004-ALE-007
- 10 mai 2004
- version initiale.
CERTA
2012-01-04
|
|
)
