Le
ver Blaster se diffuse et prépare une attaque contre le
site de Microsoft
Le ver exploite une vulnérabilité connue de Windows et se répand à grande vitesse. Il contient en outre un plan d'attaque du site de Microsoft. (Mercredi 13 août 2003)
Suite à la diffusion
du code d'exploitation d'une faille présente dans
les systèmes d'exploitation Windows NT 4.0/ 2000/
XP/ Server 2003, le monde informatique assiste à
l'une des attaques les plus rapides et les plus dangereuses
de son histoire.
Au moment de sa diffusion, il y a quelques semaines, le
ver Blaster n'était signalé qu'à
un niveau 3 de danger (sur une échelle de 5) par
la majorité des sociétés de sécurité
Internet. L'alerte est désormais passée
à un niveau 4, au vu du nombre de machines attaquées
et surtout potentiellement attaquables...
Une
bombe à retardement
Le
ver W32.Blaster (surnommé LovSan) se répand
à travers une faille RPC (Remote Procedure Call)
des systèmes d'exploitation de Microsoft découverte
le 15 juillet dernier, en scannant le réseau afin
de détecter les machines vulnérables. Un
message revendicateur est alors envoyé à
un serveur Microsoft, enjoignant à Bill Gates,
fondateur de Microsoft, d'améliorer la qualité
de ses logiciels.
Le fichier transmis est en outre programmé pour
s'exécuter à chaque démarrage du
poste infecté et tenter une attaque périodique
contre le site
consacré au support technique de Microsoft. Selon
de nombreux instituts de recherche, cette attaque en déni
de service serait programmée pour les 15
et 16 août prochains et se renouvellerait tous les
mois. Elle aurait lieu durant les deux dernières
semaines de chaque mois.
Les
mesures à prendre
Au vu du nombre de postes infectés - de l'ordre
de plusieurs milliers aux Etats-Unis et en Amérique
du Sud - la menace est à prendre réellement
au sérieux. D'après nos sources, un grand
constructeur de matériel informatique a déjà
été touché par le ver.
Face
à une telle prolifération, les sociétés
de sécurité telles que Symantec ou F-Secure
recommandent l'application du patch
mis à disposition par Microsoft au plus vite, afin
de combler les vulnérabilités des systèmes
incriminés. Il
est également recommandé de bloquer les
ports 135, 139, 445 et 593, ports utilisés par
le ver pour se répandre. Pour les entreprises d'ores
et déjà touchées, un programme
de désinfection est disponible sur le serveur
FTP de la société F-Secure.