Tech

L'attaque des serveurs Web IIS (suite)

ActualitéClassé sous :Tech , berbew , scob

La situation a évolué depuis l'information que nous avons publiée le 26/06. Contrairement à ce que nous avions indiqué sur la foi d'une des sources consultées, le javascript susceptible d'infecter les ordinateurs ne va charger les chevaux de Troie qu'à partir d'un seul site russe, et aucun site américain n'est impliqué dans ce rôle.

L'attaque des serveurs Web IIS (suite)

L'accès au site russe a été bloqué de telle sorte qu'un ordinateur qui chargerait le javascript ne pourrait pas télécharger le cheval de Troie.

Cette infection primaire resterait alors sans danger.

Le blocage de l'accès semble se faire à un niveau assez général sur les routeurs des principaux réseaux, comme l'attestent quelques tests simples : le numéro IP incriminé est enregistré comme unassigned.m10-msk-ru.e-neverland.net, et une tentative de traceroute s'arrête assez vite : UunetEuro1.GW.opentransit.net 193.251.250.198 rapports : Impossible de joindre l'hôte de destination.

Ce routeur est situé en effet à Paris.
Les experts pensent en majorité actuellement que l'objectif de cette opération était d'installer sur les ordinateurs victimes un spyware destiné à capturer les comptes et les mots de passe saisis au clavier du PC infecté et les transmettre aux pirates, alors que les premières hypothèses évoquaient plutôt l'installation d'un proxy pour diffuser du spam.

On ne sait toujours pas comment les pirates ont pu injecter le code destiné à piéger les visiteurs dans les serveurs IIS ni changer le réglage du serveur pour qu'il distribue le script malicieux. Ce qui est sûr, c'est que les pirates ont dû s'introduire manuellement dans chacun des serveurs pour les contaminer. C'est donc une opération très ciblée et très technique.
On suspecte éventuellement l'utilisation d'un « exploit » connu sous l'appellation SSL-PCT exploit (rappelons que SSL est une méthode de codage et d'authentification de sécurité classique dans les échanges Internet !). Microsoft renvoie au Microsoft Security Bulletin MS04-011, sans plus de précision pour la faille exploitée.

Si vous utilisez un serveur IIS, pour savoir s'il a été compromis par cette attaque, allez dans la gestion du serveur avec MMC, et regardez le volet Documents. Dans les serveurs compromis la case « Enable document footer » est cochée et le lien pointe vers ...system32inetsrviisxxx.dll, où xxx représente une combinaison variable de chiffres ou lettres.

Il y a une polémique feutrée sur un point : Microsoft prétend que les serveurs IIS 5 ayant les dernières mises à jour résistent à cette attaque, mais certains administrateurs de serveurs contaminés prétendent que leur serveur était à jour. Ce point est important parce qu'on peut imaginer que la même technique soit utilisée pour compromettre d'autres serveur, en indiquant un autre numéro IP comme source de chevaux de Troie. De toutes façons, même si Microsoft a raison, on sait qu'il y a dans le monde une multitude de serveurs IIS qui ne sont pas à jour de leurs correctifs de sécurité.

Au niveau du visiteur, la contamination s'effectue grâce à une combinaison de plusieurs failles d'Internet Explorer, dont une au moins n'est toujours pas comblée.
Il y a eu une volonté délibérée de ne pas divulguer l'identité des sites compromis, pour des raisons qu'on devine aisément, mais certaines sources font état d'établissement bancaires et un communiqué de l'AFP parle de sites aussi connus que Ebay, celui de courrier électronique Yahoo, ou encore Earthlink et Juno.
Cette volonté de silence a exposé les internautes à des risques inconsidérés pour des raisons bassement commerciales.

Bien que Microsoft prétende que l'impact global a été faible, il est prudent de faire un scan complet de votre ordinateur avec un antivirus mis à jour.

Vocabulaire (par exemple pour faire des recherches dans Google) : Microsoft parle, au niveau du serveur, d'une infection par Download.Ject ; la plupart des antivirus reconnaissent l'infection du client par le javascript sous l'appellation Scob ou Toofer ; enfin Berbew désigne le cheval de Troie chargé par le javascript.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi