Attaques Internet 2005

Au cours de ces dernières années, les entreprises actives dans le domaine de la sécurité informatique ont remarqué une augmentation sensible du nombre d’attaques menées contre des entreprises ou des particuliers via Internet. Sensible à cette problématique, Kaspersky Lab fut l’un des pionniers en la matière avec la conception et le déploiement de capteurs de contrôle dans l’espace virtuel.

Depuis juillet 2001, Kaspersky Lab a recueilli des millions d’attaques et de coups de sondes grâce à la technologie Smallpot. Cela a permis d’obtenir des statistiques précises sur la prévalence de divers programmes malveillants et attaques de pirates informatiques sur Internet mais également de garantir le taux de détection maximum des solutions proposées par Kaspersky Lab et la vitesse de réaction la plus rapide face aux nouvelles menaces.

Il convient de signaler que parmi toutes les statistiques diffusées quotidiennement sur Internet, beaucoup proviennent de rapports fournis par des pare-feux sous la forme des numéros de port TCP/IP qui ont été bloqués. Bien que ces chiffres fournissent une bonne idée du nombre de machines qui ont été peut-être affectées par certains logiciels malveillants ou exploitées par des pirates pour lancer des attaques, ils ne nous disent rien sur le logiciel malveillant utilisé ou sur les types d’exploits auxquels les pirates ont recourus pour pénétrer dans des systèmes distants via Internet. De tels détails peuvent être recueillis uniquement grâce à l’utilisation d’un logiciel particulier conçu pour enregistrer non seulement le numéro de port, mais également les données envoyées pendant l’attaque, à l’instar du fonctionnement de la technologie Smallpot. De plus, nombreux sont les rapports qui se concentrent sur les attaques réalisées et qui n’accordent que très peu d’attention aux tentatives d’extraction et d’analyse de données, ce qu’on appelle également les « coups de sonde ». Ainsi, les attaques menées contre les entreprises débutent toujours par une série de coups de sonde destinés à obtenir des informations sur divers services offerts via Internet depuis les serveurs de l’entreprise. Ce comportement n’est pas intrusif en lui-même mais il est généralement suivi par un exploit ou un groupe d’exploits ciblé. Ces coups de sonde peuvent être interprétés comme un signe avant-coureur d’une attaque contre un serveur et ils pourraient déclencher l’application dynamique de règles visant à bloquer la source malveillante avant que l’agresseur n’ait eu le temps d’exploiter les informations qu’il aurait recueillies. Ce rapport porte non seulement sur les attaques directes menées sur Internet, mais il vise également à présenter les différents types de coups de sonde utilisés pour obtenir des informations juste avant le déclenchement de l’attaque, un point qu’il ne faut pas négliger si l’on souhaite définir l’évolution des techniques et des procédures utilisées par les pirates informatiques.

Enfin, comme dans toutes statistiques, le traitement des erreurs joue peut-être le rôle le plus important. Afin de réduire l’incidence des erreurs sur les données finales et afin de donner une image aussi claire que possible, il convient de distribuer équitablement un réseau de capteurs dans l’espace virtuel. Cela revient à disposer d’un nombre maximum de noeuds dans un maximum de pays. Le réseau Smallpot est composé de machines situées dans le monde entier et il possède de nombreux noeuds en Amérique du Nord, en Europe et en Asie. Des années de recherche ont démontré que ces régions figurent souvent parmi les premières à essuyer les coups d’une nouvelle attaque. De plus, les noeuds placés dans des espaces IP moins peuplés permettent au réseau de recueillir des informations non seulement sur les attaques les plus importantes, mais également sur des exploits locaux qui peuvent intéressés les utilisateurs d’une région particulière alors qu’ils sont totalement absents dans le reste du monde.

Nous pouvons maintenant passer à la présentation de certaines des données fournies par le réseau Smallpot pour l’année 2005.

Top 20 des coups de sonde et des attaques Internet en 2005

Rang % du total Type Nom Avis
1 32,21 prob HTTP GET Generic
2 8,03 prob Radmin
3 7,88 ver Ditpnet_Probe
4 7,81 ver Slammer.A MS02-039
5 6,15 prob Webdav MS03-007
6 4,80 prob MSSQL
7 3,43 exploit Microsoft SQL Server 2000 Resolution Service MS02-039
8 2,85 prob SSH Bruteforce Password Crack
9 2,73 exploit Microsoft ASN.1 MS04-007
10 2,29 exploit Buffer Overrun in Microsoft RPC Interface MS03-026
11 2,03 prob Get HTTP Proxy Information
12 1,75 ver Blaster MS03-026
13 1,71 prob Bagle Backdoor
14 1,54 exploit Dameware_Netmaniak_40 VU#909678
15 1,53 prob HTTP CONNECT
16 1,45 ver Dabber
17 0,39 ver Agobot via WebDAV exploit MS03-007
18 0,38 exploit WINS MS04-045
19 0,31 prob FTP
20 0,24 exploit UPNP MS01-059

Top 20 des coups de sonde et des attaques Internet en 2005.

Le coup de sonde « HTTP GET Generic » est celui qui de loin a le plus souvent été relevé en 2005 par les ordinateurs du réseau Smallpot. D’après les recherches menées par Kaspersky Lab, ce type de coup de sonde est utilisé dans la majorité des cas par un outil automatique qui permet aux diffuseurs de courrier indésirable d’identifier des proxys ouverts sur l’Internet afin de les exploiter ultérieurement pour l’envoi massif de messages non sollicités. D’autres exploitent ce coup de sonde afin d’obtenir des informations générales sur un serveur HTTP dans le but d’identifier d’éventuelles vulnérabilités.

Radmin (versions inférieures à 2.2) est un programme d’administration à distance complet pour les PC populaires chez les utilisateurs particuliers et largement répandu dans les entreprises où il facilite la tâche des administrateurs système, notamment l’installation de mises à jour. Vu que Radmin est une application commerciale, elle n’est pas détectée par tous les logiciels antivirus en tant que logiciel malveillant, ce qui en fait la proie idéale pour les pirates qui veulent bénéficier d’un accès sûr à un système compromis. Radmin utilise par défaut le port TCP 4899, ce qui en fait une cible de choix pour les attaques par force brutale (8% de l’ensemble des coups de sonde et des attaques Internet en 2005).

Le ver Dipnet est apparu au début du mois de janvier 2005 et il a occupé le devant de la scène jusqu’en mai 2005, époque où il a commencé à se faire plus rare. Toutefois, le nombre élevé d’attaques en janvier a été suivi d’une grande vague de coups de sonde en mai dans le but de d’identifier les machines infectées par le ver et de les contrôler. Dipnet.a contient une trappe exécutée sur le port 11768 qui permet à n’importe quel agresseur de prendre complètement les commandes d’un système infecté et de le transformer ainsi en tremplin pour le lancement d’un autre programme malveillant ou pour la diffusion de messages non sollicités.

Le ver Slammer est apparu sur Internet en janvier 2003 et il a été à l’origine de l’une des épidémies les plus sérieuses de cette année. Slammer, qui envoie sa copie via le port UDP 1434, a non seulement infecté un nombre considérable d’ordinateurs, mais il demeure l’un des vers les plus populaires toujours en circulation sur Internet, près de deux ans plus tard. Le schéma suivant illustre la répartition des attaques de Slammer par mois en 2005 :

Mois % du total
Janvier 3,51
Fevrier 3,85
Mars 1,32
Avril 2,12
Mai 2,42
Juin 5,37
Juillet 3,92
Aout 6,90
Septembre 6,33
Octobre 4,80
Novembre 5,00
Decembre 5,28

Distribution mensuelle des attaques de Slammer, 2005

A la vue de ce tableau et sur la base de la distribution des attaques Slammer en fonction de l’adresse IP source tout au long de 2005, on peut dire que le ver a cessé d’infecter les machines à un rythme emballé, mais les machines infectées ne sont pas désinfectées à un rythme similaire, ce qui laisse penser que ce ver va nous accompagner pour un certain temps encore.

Le bulletin de sécurité Microsoft MS03-007, diffusé pour la première fois en mars 2003, décrit la saturation de la mémoire tampon dans ntdll.dll qui peut être exploitée par WebDAV, la mise en oeuvre du protocole WebDAV dans IIS. Depuis lors, on a vu apparaître de nombreux outils de piratage qui automatisent complètement la recherche et l’identification d’hôtes qui peuvent être infectés de cette manière. Ceci explique sa très grande popularité auprès des pirates tout au long de 2005.

La sixième place du Top 20 des coups de sonde et des attaques Internet en 2005 compilé par Kaspersky est occupée par un coup de sonde générique Microsoft SQL qui vérifie la présence d’un serveur MSSQL à l’adresse IP cible. Il permet de définir diverses spécificités du protocole afin de choisir l’exploit le mieux adapté à la version de MSSQL installée sur l’ordinateur ou de tenter de deviner un des mots de passe d’administrateur du serveur SQL avant une attaque par force brutale. Le ver Spida.a (http://www.viruslist.com/en/viruses/encyclopedia?virusid=23890) s’est propagé grâce à cette méthode en 2002 et fut à l’origine d’une grande épidémie qui a touché le monde entier et plus particulièrement la Corée.

La saturation de la mémoire tampon du service de résolution du serveur Microsoft SQL est connue principalement pour le rôle qu’elle joue dans la reproduction du ver Slammer. En 2005, plusieurs autres programmes malveillants qui profitent de cette vulnérabilité ont fait leur apparition. De plus, il existe des outils de piratage automatisés qui exploitent cette vulnérabilité afin d’introduire des trappes dans une machine vulnérable, ce qui contribue un peu plus à sa popularité auprès des pirates et des auteurs de programmes malveillants.

Le serveur SSH (Secure Shell) est un autre service qui figure parmi les cibles de prédilection des outils de cracking par force brutale. La majorité d’entre eux tentera d’ouvrir une connexion à l’aide d’une liste de noms d’utilisateur et de mots de passe communs. Ils ne pourront bien sûr pas servir au déclenchement d’une attaque de grande envergure sur Internet mais ils suffiront pour trouver un petit nombre de machines qui pourront, plus tard, être utilisées afin de lancer d’autres attaques, de manière plus ou moins anonyme.

Les premiers exploits ciblant la vulnérabilité MS ASN.1 ont été recensés en juin 2005 et ont atteint leur pic en juillet. Ils coïncident avec l’apparition d’un nouveau type de Rbots qui utilisent cet exploit (http://www.viruslist.com/en/weblog?weblogid=164941250). Cet exploit a été intégré à d’autres logiciels malveillants plus tard dans l’année, par exemple Bozori.c.

Lovesan, connu également sous le nom de « Blaster », est un des vers les plus répandus qui exploite les problèmes exposés dans MS03-026. A l’instar de ce qui se produit dans l’écriture des autres logiciels malveillants, l’exploit utilisé par ce ver a été intégré dans de nombreux Rbots et dans un nombre infini de vers dont certains ont été à l’origine de véritables épidémies en 2003 et 2004.

Signalées pour la première fois en janvier 2004, de nouvelles versions du ver Bagle ont vu le jour pratiquement chaque mois depuis lors. La majorité des modifications de Bagle contient une trappe qui permet au pirate de prendre les commandes des machines infectées pour autant qu’il connaisse l’IP de celle-ci. De plus, on a découvert des centaines d’autres vers qui balaient le réseau et tentent d’infecter les machines possédant une trappe Bagle active. Cette stratégie s’est déjà matérialisée en tendance dans l’écriture des logiciels malveillants.

Tout comme Radmin, Dameware est une suite d’outils qui peut être utilisée pour administrer à distance une machine via TCP/IP. Les versions de Dameware Mini Remote Control Server antérieures à la version 3.73 contiennent une vulnérabilité qui peut être utilisée afin d’exécuter directement un code arbitraire sur un système vulnérable. Cette vulnérabilité fut signalée pour la première fois en décembre 2003 et elle est sur le point de disparaître vu qu’un nombre croissant d’hôtes installent les correctifs et adoptent la version plus récente.

Le ver Dabber est un cas intéressant de logiciel malveillant qui infecte uniquement des machines déjà compromises par un autre ver (Sasser dans ce cas). Doomjuice (http://www.viruslist.com/en/alerts?alertid=930701) qui infectaient les ordinateurs déjà compromis par les célèbres vers MyDoom.a et MyDoom.b est un autre exemple de logiciel malveillant fonctionnant de cette manière. Avec la disparition de Sasser, on assiste également à la disparition progressive du ver Dabber.

Les derniers cas d’attaques significatives dans le Top 20 pour 2005 sont des exploits WINS utilisés principalement par des modifications de Rbot et Agobot sur le port 42. C’est en janvier 2005 que le nombre d’exploits WINS a atteint son pic et ils sont en déclin depuis lors.

Top 10 des vulnérabilités ciblées dans les attaques Internet en 2005

Le Top 20 précédent l’indiquait déjà clairement : la majorité des vulnérabilités exploitées dans les attaques Internet appartiennent aux logiciels Microsoft et en règle générale, il s’agit d’anciennes vulnérabilités qui ont été rectifiées il y a longtemps. Ceci indique qu’il existe de nombreux ordinateurs connectés à Internet qui ne reçoivent pas les mises à jour et dont les propriétaires n’installent pas les correctifs et les services packs proposés par Microsoft.

Ce manque d’intérêt contribue à l’existence d’une solide base de systèmes vulnérables qui peuvent être pris pour cible par les logiciels malveillants et les pirates. On se retrouve ainsi face à une source ininterrompue de machines qui peuvent être transformées en zombie dans le but de diffuser des messages non sollicités ou d’autres logiciels malveillants.

Rang Avis Description
1 MS02-039 Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)
2 MS03-007 Unchecked Buffer In Windows Component Could Cause Server Compromise (815021)
3 MS03-026 Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
4 MS04-007 ASN.1 Vulnerability Could Allow Code Execution (828028)
5 VU#909678 DameWare Mini Remote Control vulnerable to buffer overflow
6 MS04-045 Vulnerability in WINS Could Allow Remote Code Execution (870763)
7 MS02-061 Elevation of Privilege in SQL Server Web Tasks (Q316333)
8 MS05-039 Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)
9 MS01-059 Unchecked Buffer in Universal Plug and Play can Lead to System Compromise
10 AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability

Top 10 des vulnérabilités ciblées dans les attaques Internet en 2005

Parmi toutes les vulnérabilités de notre Top 10, une seule a été signalée en 2005, à savoir la vulnérabilité (Plug and Play).

Le bulletin MS05-039 a été diffusé en août 2005 et cette vulnérabilité fut exploitée pour la première fois par le ver Bozori.a (http://www.viruslist.com/en/viruses/encyclopedia?virusid=91125) pour se multiplier. Par la suite, elle a été intégrée à d’autres vers tels Mytob.cf ou Lebreat.m.

Nous pouvons par conséquent affirmer que peu de nouvelles vulnérabilités critiques ont été découvertes dans Windows en 2005 (par rapport aux années précédentes), mais qu’il existe un grand nombre de machines vulnérables aux anciennes attaques, autant de cibles potentielles « toujours prêtes » pour les auteurs de programmes malveillants et qui pourront servir à la diffusion rapide de nouveaux programmes malveillants ou chevaux de Troie.

Top 20 des ports utilisés dans les attaques Internet en 2005

Rang % du total Port
1 26,14 445
2 18,75 80
3 15,65 135
4 12,71 1026 (UDP)
5 5,13 1433
6 4,23 1434 (UDP)
7 4,19 1027 (UDP)
8 2,68 4899
9 2,57 15118
10 1,03 5554
11 0,98 22
12 0,87 1025 (UDP)
13 0,71 4444
14 0,61 3128
15 0,59 2745
16 0,53 6129
17 0,33 42
18 0,31 21
19 0,17 139
20 0,12 3127

Top 20 des ports utilisés dans les attaques Internet en 2005.

Sur la base de nos observations, nous pouvons affirmer qu’un grand nombre d’attaques contre un ordinateur ou un groupe d’ordinateurs débute par un balayage des ports qui permet d’enregistrer tous les ports ouverts à étudier plus en profondeur. De plus, de nombreux vers procéderont à un balayage pour identifier les machines vulnérables au niveau de leur classe B ou C afin d’essayer d’établir des connexions avec divers ports pour tenter d’exploiter une vulnérabilité particulière.

En 2005, le port 445/TCP, utilisé par Windows 2000 et ses cousins pour SMB (partage de fichiers et d’imprimantes) via le protocole TCP, fut le plus recherché. Dans les versions plus anciennes de Windows, ce sont les ports 135 et 139 qui ont été utilisés dans le même esprit mais à partir de Windows 2000, Microsoft a commencé à utiliser le port 445 lorsqu’il était disponible. Pour des questions de compatibilité, si un serveur SMB est inexistant sur le port 445, ce sont les anciens ports 135 et 139 qui sont utilisés. Parmi les vulnérabilités de notre Top 10, celles qui exploitent le port 445 sont les suivantes : MS03-026, MS04-007 (ASN.1) et la récente MS05-039 (UPnP).

Le port 80, utilisé pour les transferts http, occupe la deuxième place, en grande partie grâce au grand nombre de balayeurs qui recherchent des proxys ouverts et en raison des exploits qui peuvent être exécutés via http. Parmi le Top 10 des vulnérabilités utilisées dans les attaques Internet, la vulnérabilité « AWStats Rawlog Plugin Logfile Parameter Input Validation » peut être exploitée sur le port 80.

Le port 135, utilisé par le DCOM Service Control Manager de Microsoft, est une autre cible de choix des pirates et des vers. La plupart du temps, il sert à amener des exploits pour la vulnérabilité MS03-026. La majorité des modifications récentes de Rbot et d’Agobot, si pas toutes, exploitent le port 135 pour se diffuser, ainsi que le ver Lovesan/Blaster toujours aussi populaire.

Les ports 1025, 1026 et 1027 UDP sont utilisés par les spammeurs pour envoyer des publicités au Windows Messenger Service qui écoute ces ports. Le service de messagerie est disponible également via le port 135, toutefois de nombreux FAI le bloquent depuis l’épidémie Blaster. Les autres ports sont toujours exploitables.

Les ports 1433 et 1434 UDP sont utilisés par Microsoft SQL Server et ils sont utilisés pour livrer divers exploits par des vers ou des pirates. Le port 1434 UDP est utilisé par les attaques qui ciblent la vulnérabilité MS02-039, la vulnérabilité la plus exploitée en 2005 (principalement par le ver Slammer).

Le port Radmin 4899 est une autre cible de choix pour les pirates, comme en témoigne sa quatrième position dans le Top 20 des coups de sonde et des attaques Internet. Il est également pris pour cible par différents vers, par exemple Rahak.a (http://www.viruslist.com/en/viruses/encyclopedia?virusid=78349) et plusieurs modifications d’Agobot.

Le nombre élevé de coups de sonde sur le port 15118 est imputable au ver DipNet.e et à ses modifications qui utilisent ce port pour identifier les hôtes déjà infectés. Vu que DipNet ouvre une trappe sur ce port, le port est également pris pour cible par les outils de balayage des spammeurs qui recherchent les machines qui pourraient servir à la distribution d’autres programmes malveillants et/ou de publicités par courrier électronique. Notons que le port 11768 utilisé par les versions antérieures de Dipnet ne figure pas dans le top 20 de l’année 2005. De même que le port 2745 utilisé par la trappe Bagle et le port 3127 utilisé par la trappe Mydoom.

Le port 5554 a été traditionnellement attribué aux serveurs Web SGI Embedded Support Partner, mais le trafic volumineux intercepté en 2005 sur ce port est dû à Sasser qui y exécute un serveur FTP. Le ver Dabber, qui est apparu en mai 2004, utilise un exploit pour le serveur ftp du port 5554 exécuté par Sasser. Il est donc le principal responsable du trafic observé sur ce port.

Le port 4444 n’est rien d’autre que le shell de ligne de commande de Blaster, utilisé pendant la réplication du ver. Il est également la cible des balayeurs de ports qui recherchent une trappe prête à l’emploi dans le système.

Le port 3128 est généralement utilisé pour les serveurs proxy. Pour cette raison, il est prisé des spammeurs qui cherchent des machines qui pourront servir de passerelles pour la distribution de publicités. Plusieurs vers connus contiennent également des serveurs proxy sur ce port.

Les dernières places dans le Top 20 sont occupées par le port 6129 (Dameware), 42 (WINS) et 21 (FTP) qui sont en rapport avec le trafic mentionné ci-dessus dans le Top 20 des coups de sonde et des attaques Internet en 2005.

Répartition géographique des coups de sonde et des attaques Internet

Rang % du total Pays
1 27,38 Chine
2 21,16 USA
3 6,03 Coree
4 2,82 Canada
5 2,04 Hong Kong
6 2,00 Russie
7 1,88 Espagne
8 1,77 Philippines
9 1,72 Japon
10 1,63 Taiwan
11 1,25 Allemagne
12 1,25 Pays-Bas
13 1,13 Royaume-Uni
14 0,72 France
15 0,41 Italie
16 0,39 Bresil
17 0,31 Suede
18 0,29 Inde
19 0,25 Pologne
20 0,22 Uruguay

Répartition géographique des coups de sonde et des attaques Internet

Cette année, la Chine détrône les Etats-Unis en tant que source principale d’attaques et de coups de sonde Internet. Cela est dû à la connectivité croissante de la Chine qui, s’il faut en croire le World Factbook (http://www.cia.gov/cia/publications/factbook/rankorder/2153rank.html ) de la CIA, atteignait 94 millions d’utilisateurs à la fin 2004 mais également à la popularité accrûe des logiciels de sécurité informatique aux Etats-Unis et aux législations plus strictes en matière de cybercriminalité. Il convient de noter que les trois premières places représentent plus de 50% des attaques et des coups de sonde relevés à travers le monde.

Il est intéressant de constater que la Chine abrite 57% des machines infectées par Slammer tandis que la Corée, qui comptait pour la majorité de ces infections il y a deux ans, ne représente plus qu’1 %. Ce fait témoigne de la différence en matière d’intérêt porté à la sécurité informatique dans ces deux pays.

Il convient également de relativiser le nombre d’attaques par rapport à la population de chacun des pays cités. Le classement qui en résulte met en lumière des changements significatifs :

Rang Pays
1 Hong Kong
2 Coree du Sud
3 Canada
4 Pays-Bas
5 USA
6 Taïwan
7 Uruguay
8 Espagne
9 Suede
10 Chine
11 Philippines
12 Royaume-Uni
13 Allemagne
14 Japon
15 Russie
16 France
17 Italie
18 Pologne
19 Bresil
20 Inde

Distribution des attaques et des coups de sonde Internet
du Top 20 par rapport aux populations

Hong Kong et la Corée du Sud sont des pays relativement peu peuplés mais où la connectivité est très élevée. Ils sont suivis par le Canada, les Pays-Bas et les Etats-Unis. Sous cet angle, la Chine occupe la 10ème position, mais uniquement à cause de son immense population.

Il est peut-être encore plus juste de relativiser le nombre d’attaques vis-à-vis de la connectivité Internet totale dans les différents pays du Top 20:

Rang Pays
1 Hong Kong
2 Uruguay
3 Philippines
4 Russie
5 Chine
6 Coree du sud
7 Espagne
8 Canada
9 Pays-Bas
10 USA
11 Taïwan
12 Suede
13 Royaume-Uni
14 France
15 Allemagne
16 Japon
17 Pologne
18 Bresil
19 Italie
20 Inde

Distribution des attaques et des coups de sonde Internet
par rapport à la connectivité Internet

Le classement ci-dessus montre une distribution des attaques du point de vue de la connectivité Internet de chaque pays. Ici aussi, Hong Kong occupe la première place tandis que la Corée n’est pas loin, le 6ème pays au monde en matière d’infections. La Russie occupe la quatrième place.

S’agissant des logiciels malveillants qui se reproduisent au niveau du réseau, la situation dans l’absolu ressemble à ceci :

Rang % du total Pays
1 38,31 Chine
2 21,99 USA
3 3,09 Japon
4 2,70 Coree du Sud
5 1,40 Hong Kong
6 1,36 Taiwan
7 1,17 Inde
8 1,14 Allemagne
9 0,98 Pays-Bas
10 0,90 Royaume-Uni

Répartition des machines infectées par
un programme malveillant qui se multiplie via le réseau

Ici aussi, la Chine et les Etats-Unis représentent la majorité des infections dans le monde, mais le Japon suit de près en troisième position, tout comme l’Inde en septième place. Par rapport à l’année dernière, le nombre de machines infectées au Japon et en Inde est en augmentation.

Correctifs importants

Un certain nombre de vulnérabilités critiques ont touché les produits Microsoft en 2005, mais une seule a vraiment été exploitée : MS05-039. Parmi les autres vulnérabilités qui ont pratiquement été ignorées par les vers et les pirates, citons MS05-051 (exploitée par Dasher.B mais sans grand impact), MS05-043 (une vulnérabilité du service de spool d’imprimantes), MS05-021 (une vulnérabilité d’Exchange Server), MS05-019 (une vulnérabilité dans la mise en oeuvre de TCP/IP par Windows), MS05-011 (vulnérabilité dans SMB) et MS05-010 (vulnérabilité dans le service de journalisation de la licence). Kaspersky Lab recommande à tous ses utilisateurs d’installer les mises à jour fournies via Windows Update à l’adresse habituelle : http://windowsupdate.microsoft.com.

Parmi les nouvelles vulnérabilités critiques qui ont touché les systèmes Unix, la vulnérabilité « XML-RPC for PHP PHP Code Execution » est peut-être la plus importante. Etant donné que le composant XML-RPC est utilisé par de nombreuses applications Internet populaires telles que b2evolutions, WordPress et TikiWiki, des vers comme Lupper qui tente d’exploiter cette vulnérabilité occupent une place importante dans leur catégorie. La vulnérabilité « AWStats « configdir » Parameter Arbitrary Command Execution Vulnerability » est également une cible populaire des attaques menées contre les systèmes Unix.

Parmi les vulnérabilités plus anciennes exploitées sur les systèmes Unix, citons la vulnérabilité « AWStats Rawlog Plugin Logfile Parameter Input Validation » utilisée par le ver Lupper et ses modifications.

Les correctifs pour ces vulnérabilités peuvent être téléchargés depuis les adresses suivantes :

  • http://sourceforge.net/project/showfiles.php?group_id=34455 (pour la vulnérabilité XML-RPC, la version 1.2.1 étant la plus récente)
  • http://awstats.sourceforge.net/#DOWNLOAD (pour les vulnérabilités AWStats, la version 6.5 étant la plus récente)

En plus de ces vulnérabilités, les pirates ont beaucoup compté sur les problèmes de mauvaise configuration et sur les exploits plus anciens afin d’accéder aux machines Unix.

Conclusions et tendances :

Les statistiques disponibles pour 2005 permettent de dégager plusieurs tendances. Tout d’abord, nous assistons à l’émergence de deux types principaux de cibles sur Internet. La première catégorie comprend les machines qui utilisent des logiciels très anciens, vulnérables aussi bien aux nouveaux exploits qu’aux exploits plus anciens. Il est évident que les propriétaires de telles machines ne suivent pas la diffusion des correctifs et des Services Pack, ce qui contribue à l’existence sur Internet d’une masse de serveurs « prêts à être infectés ».
La deuxième catégorie reprend les machines actualisées rapidement par leur propriétaire, ce qui explique pourquoi le nombre d’attaques réussies qui exploitent de nouvelles vulnérabilités est bien inférieur au nombre des années précédentes. Ceci indique que les récentes campagnes menées pour sensibiliser les utilisateurs aux questions de sécurité ont un effet notable, surtout aux Etats-Unis, ou qu’elles sont complètement ignorées dans des pays comme la Chine qui abrite la majorité des machines tournant sous des systèmes d’exploitation et exécutant des logiciels dépassés et vulnérables.

Une autre observation importante se situe au niveau de la forte augmentation du nombre d’attaques liées à la diffusion de courrier indésirable ou d’attaques qui visent à installer des programmes malveillants qui serviront à diffuser du courrier indésirable ou à engranger un profit. De plus, les vers les plus récents qui se sont répandus via Internet comprennent une trappe qui, dès que la popularité de ces vers augmentent, est exploitée par les spammeurs. Le nombre de coups de sonde à la recherche de proxys ouverts est également en forte augmentation, pour les mêmes raisons.

Les vers Flash, qui étaient un vrai problème il y a deux ans, n’occupent plus la première place. Ils ont été remplacés par des programmes malveillants conçus pour gagner de l’argent, ce qui témoigne de l’émergence d’un nouveau phénomène sur lequel nous avons déjà attiré l’attention : ce que nous appelons les « vers commerciaux » (http://www.viruslist.com/en/analysis?pubid=168953110).

Le nombre d’attaques liées à la diffusion de courrier indésirable devrait continuer à augmenter en 2006, tout comme le nombre de vers ou de bots qui exploitent non pas une ou deux mais plusieurs vulnérabilités différentes (anciennes ou nouvelles). Kaspersky Lab va suivre de très près l’évolution de la situation en Chine, dont le nombre de machines vulnérables a un impact considérable sur le reste du monde.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *