Exemples et Descriptions de Vulnérabilités

Microsoft Windows, le système d'exploitation le plus utilisé sur systèmes connectés à Internet, contient de multiples et sérieuses vulnérabilités. Les plus exploitées se trouvent dans IIS, MS-SQL, Internet Explorer, les services de fichiers et les services de traitement des messages du système d'exploitation lui-même.

Une vulnérabilité dans IIS, reprise sur Microsoft Security Bulletin MS01-033, est une des vulnérabilités les plus exploitées sur Windows. De nombreux vers de réseau ont été écrits pendant des années pour exploiter cette vulnérabilité y compris CodeRed. CodeRed fut détecté la première fois le 17 juillet 2001. Il est soupconné d'avoir infecté plus de 300 000 machines. De nombreuses entreprises ont été perturbées et ce ver a causé d'énormes pertes financières autour du monde. Bien que Microsoft ait édité un patch pour cette brèche dans son bulletin de sécurité MS01-033, plusieurs versions du ver CodeRed se propagent encore aujourd'hui sur le Net.

Le ver de réseau Spida, détecté presqu'un an après l'apparition de CodeRed, reposait sur une exposition dans le serveur MS-SQL pour se diffuser. Certaines installations par défaut dans le serveur MS-SQL ne protégeaient pas le compte de l'administrateur système par mot de passe. Cela permettait à n'importe qui ayant un accès réseau au système, d'exécuter des commandes aléatoires. Lors de l'utilisation de cette exposition, le ver ouvre un compte « guest », pour permettre un partage de fichiers et son téléchargement sur le serveur infecté pour propager l'infection.

Le ver de réseau Slammer, détecté fin janvier 2003, utilisait une méthode encore plus directe pour infecter les systèmes Windows sous serveur MS-SQL: une brèche par dépassement de mémoire tampon dans une subroutine (sous-programme) de traitement des paquets UDP. Du fait de sa petite taille – 376 octets – et de son utilisation du protocole UDP (un protocole conçu pour une transmission rapide des données), Slammer se propageait à un rythme incroyablement rapide. Certains estiment que Slammer a infecté 75 000 ordinateurs dans le monde en 15 minutes.

Ces trois vers notoires reposaient sur des vulnérabilités et des expositions dans des logiciels tournant sous des versions diverses de Microsoft Windows. Cependant, le ver Lovesan, détecté le 11 août 2003, usait d'un dépassement de mémoire encore plus sévère dans un composant noyau de Windows pour se propager. Cette vulnérabilité est expliquée dans le bulletin de sécurité Microsoft Security Bulletin MS03-026.

Sasser, apparu début mai 2003, exploitait une autre vulnérabilité d'un composant noyau, cette fois dans le service LSASS (Local Security Authority Subsystem Service). L'information concernant cette vulnérabilité a été publiée dans Microsoft Security Bulletin MS04-011. Sasser s'est répandu rapidement et a infecté des millions d'ordinateurs dans le monde ce qui a énormément coûté aux entreprises touchées. De nombreuses institutions et organisations furent forcées de suspendre leurs opérations à cause des perturbations provoquées par le ver.

Il n'existe pas un seul système d'exploitation qui ne contienne pas de vulnérabilités ou d'expositions susceptibles d'être la cible de hackers et d'auteurs de virus. S'il est vrai que les vulnérabilités Windows font beaucoup couler d'encre du fait du nombre élevé de machines tournant sous Windows, Unix a aussi ses points faibles.

Pendant des années, une des brèches les plus connues chez Unix a été le service 'finger'. Ce service permettait à quelqu'un en dehors du réseau de voir quels utilisateurs étaient loggés sur quelle machine, ou de quel emplacement les utilisateurs accèdaient à l'ordinateur. Le service « finger » est pratique mais expose au grand jour pas mal d'informations susceptibles d'être exploitées par des hackers.

Voici à quoi ressemble un rapport d'un “finger” à distance :

Login     Name       Tty      Idle  Login Time   Office         Office Phone
xenon                pts/7   22:34  May 12 16:00 (chrome.chiba)
polly                pts/3      4d  May  8 14:21
cracker   DarkHacker pts/6      2d  May 10 11:58

Cela montre qu'on peut apprendre des choses utiles concernant la machine à distance utilisant le serveur 'finger' : trois utilisateurs sont loggés mais deux d'entre eux sont absents depuis plus de deux jours, alors que le troisième est absent depuis 22 minutes. Les noms de log-in que l'on voit grâce par le service « finger » peuvent être utilisés pour tenter des combinaisons login/mot de passe. Cela peut rapidement compromettre le système surtout si les utilisateurs ont crée leurs mots de passe à partir de leur nom d'utilisateur, une pratique relativement courante.

Le service finger ne fait pas qu'exposer une information importante concernant le serveur sur lequel il est hébergé ; il a été la cible de nombreux exploits, y compris le fameux ver de réseau écrit par Robert Morris Jr, édité le 2 novembre 1988. Par conséquent, les distributions Unix n'offrent plus ce service.

Le programme « sendmail », écrit par Eric Allman, est une autre cible bien connue des hackers. « Sendmail » fut développé pour traiter le tranfert des emails via Internet. Etant donné le grand nombre de systèmes d'exploitation et de configurations hardware (matérielles), 'Sendmail' est devenu un programme relativement complexe, porteur d'un lourd passé de vulnérabilités sévères. Le ver Morris a utilisé un exploit 'Sendmail' ainsi que la vulnérabilité du service finger pour se diffuser.

La sphère Unix contient bien d'autres exploits connus qui ciblent les packages de software tels que SSH, Apache, WU-FTPD, BIND, IMAP/POP3, diverses parties du noyau (kernel) etc.

Les exploits, vulnerabilités et incidents énumérés ci-dessus mettent en lumière un fait important. Alors que le nombre de systèmes tournant sous IIS, MS-SQL ou autre logiciel spécifique se compte par centaines de milliers, le nombre total de systèmes tournant sous Windows est probablement près de plusieurs centaines de millions. Si toutes ces machines étaient la cible d'un ver ou d'un hacker utilisant un outil de piratage, cela poserait un sérieux problème à la structure interne et la stabilité d'Internet.