Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Monday 16 April 2007
0 comment(s) | Subnetwork France

Haro sur Windows Server ! Toutes les versions serveur du système (Windows 2000 Server SP4, Windows Server 2003 SP1 et Windows Server 2003 SP2) peuvent potentiellement être détournées à distance.L'attaque cible l'interface RPC du service de résolution des noms (DNS), activée par défaut à l'installation du système. La vulnérabilité serait utilisée par des pirates depuis au moins le 4 avril dernier, date de la première attaque confirmée par le SANS, un organisme de veille américain.La faille ne touche cependant pas le service DNS lui-même (actif au port TCP/53), mais le lien qui existe entre lui-même et le service RPC. Ce dernier est un coupable habituel bien connu, dont les boulettes et autres manquements sont à l'origine de nombreuses attaques et de grandes épidémies (c'était notamment la méthode d'infection utilisée par le ver Blaster).Les attaques observées jusqu'à présent par le SANS suivent un scénario très traditionnel : des analyses sauvages sont dirigées vers les ports TCP/1024 à TCP/2048 des serveurs accessibles publiquement. Si un service RPC vulnérable est découvert, une connexion vient alors l'exploiter et ouvrir une porte d'accès sur la machine (au port TCP/1100). Cette dernière est ensuite utilisée pour déposer et exécuter un script Visual Basic sur le serveur. Celui-ci télécharge ensuite l'outil PWDUMP depuis - pour l'instant - un serveur basé à Taiwan. PWDUMP est un outil de casse par force brute des mots de passe Windows.Il ne s'agit ici bien entendu que des premières attaques observées. N'importe quel code malicieux peut-être exécuté de la sorte, et il le sera avec les droits SYSTEM de Windows.Cette vulnérabilité ne concernant que les versions "serveur" du système d'exploitation, Windows 2000 Professional SP4, Windows XP SP2 et Windows Vista ne sont pas vulnérables. Pour ce dernier d'ailleurs, Microsoft a pris les devant lors de sa conception : le service RPC a été ré-écrit afin de limiter de tels abus. Il ne bénéficie notamment plus des droits SYSTEM et ne peut manipuler le système de fichier à sa guise. Cette attaque n'aurait ainsi probablement pas été possible sur la version serveur (à venir !) de Windows Vista.Bien que Microsoft ait reconnu la vulnérabilité et que cette dernière soit exploitée, aucun correctif n'est encore disponible. L'éditeur a cependant offert deux conseils afin de limiter l'exposition des serveurs à cette vulnérabilité : modifier la base de registre afin d'interdire le lien RPC vers le service DNS ou bloquer les connexions aux ports 1024 à 5000 lorsque c'est possible.Par ailleurs, un "patch virtuel" non-officiel est proposé par l'éditeur Bluelane aux utilisateurs de ses boîtiers PatchPoint et de son logiciel VirtualShield.

• L'alerte officielle sur le site de Microsoft (en anglais)