Le programme malicieux, qui a d\u00e9j\u00e0 paralys\u00e9 250000 bases de donn\u00e9es SQL, a surtout transperc\u00e9 les cuirasses des principales soci\u00e9t\u00e9s d’antivirus. Il \u00ab\u00a0r\u00e9side\u00a0\u00bb en m\u00e9moire vive et \u00e9vite les disques durs, \u00e0 l’image de ses vieux cousins Nimda ou Code Red. <\/p>\n
Le ver SQL Slammer, autre appellation donn\u00e9e \u00e0 Sapphire, a frapp\u00e9 ce week-end plus de 200000 serveurs \u00e9quip\u00e9s du logiciel de gestion de base de donn\u00e9es SQL Server 2000 de Microsoft.<\/p>\n
Techniquement comparable aux tristement c\u00e9l\u00e8bres Nimda et Code Red, sa force est de ne r\u00e9sider que dans la m\u00e9moire vive des ordinateurs, ce qui a d\u00e9sempar\u00e9 les logiciels antivirus. Les \u00e9diteurs sp\u00e9cialis\u00e9s Trend Micro, Symantec, Kaspersky Labs et Network Associates ont ainsi tous indiqu\u00e9 que leurs syst\u00e8mes de d\u00e9fense n’avaient pas r\u00e9ussi \u00e0 bloquer le ver \u00e0 cause de son mode de propagation. <\/p>\n
\u00abLe ver passe de machine en machine sans n’\u00eatre jamais enregistr\u00e9 sur leur disque dur. Or nos outils scannent les disques des ordinateurs et non leur m\u00e9moire en temps r\u00e9el, car cela ralentirait trop la machine\u00bb, explique \u00e0 ZDNet<\/em> Marc Blanchard, directeur du laboratoire de recherche europ\u00e9en de l’\u00e9diteur antivirus Trend Micro. \u00abNous avions eu les m\u00eames soucis avec Nimda et Code Red\u00bb, poursuit le responsable, qui estime qu’\u00abil ne faut d\u00e9sormais plus se contenter d’un logiciel antivirus pour prot\u00e9ger un r\u00e9seau\u00bb. <\/p>\n Comme d’autres experts en s\u00e9curit\u00e9, il reporte \u00e9galement la responsabilit\u00e9 sur les administrateurs qui n’ont pas install\u00e9 le patch de Microsoft corrigeant la faille exploit\u00e9e par Sapphire. Cette rustine<\/a> a, en effet, \u00e9t\u00e9 publi\u00e9e par l’\u00e9diteur il y a six mois. \u00abNous ne pouvons pas installer les correctifs \u00e0 leur place\u00bb, lance Blanchard.<\/p>\n Le serveur re\u00e7oit un requ\u00eate pi\u00e9g\u00e9e<\/strong><\/p>\n Le principe d’attaque de SQL Slammer est le suivant: il arrive dans la m\u00e9moire d’un serveur, via le port de connexion UDP 1434, sous la forme d’un paquet de donn\u00e9es de 376 octets. Pour ouvrir ce canal de communication, il envoie une simple requ\u00eate de consultation de la base de donn\u00e9es h\u00e9berg\u00e9e sur le serveur. Mais, en exploitant la faille de SQL Server, il outrepasse ses droits d’acc\u00e8s et ex\u00e9cute \u00e0 distance du code malicieux. <\/p>\n Une fois contamin\u00e9, le serveur recherche \u00e0 son tour tous les serveurs SQL auquel il a acc\u00e8s pour leur transmettre le virus. Sapphire n’alt\u00e8re ou n’efface aucune donn\u00e9e des disques durs, mais ses op\u00e9rations surcharge les serveurs (attaque de d\u00e9ni de service) et sature les r\u00e9seaux. En entreprise, cela provoque notamment des \u00e9checs de services de messagerie, un ralentissement de connexions internet ou m\u00eame un blocage complet du r\u00e9seau.<\/p>\n Les experts en s\u00e9curit\u00e9 conseillent, comme mesure d’urgence, de bloquer le port 1434 puis d’utiliser un outil de nettoyage de m\u00e9moire. Symantec<\/a> et Trend Micro<\/a> fournissent chacun un programme de ce type en t\u00e9l\u00e9chargement gratuit.<\/p>\n [source – ZDNet.fr]<\/p>\n","protected":false},"excerpt":{"rendered":" Le programme malicieux, qui a d\u00e9j\u00e0 paralys\u00e9 250000 bases de donn\u00e9es SQL, a surtout transperc\u00e9 les cuirasses des principales soci\u00e9t\u00e9s d’antivirus. Il \u00ab\u00a0r\u00e9side\u00a0\u00bb en m\u00e9moire vive et \u00e9vite les disques durs, \u00e0 l’image de ses vieux cousins Nimda ou Code Red. <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[13],"tags":[],"class_list":["post-787","post","type-post","status-publish","format-standard","hentry","category-hackers"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/787","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=787"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/787\/revisions"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=787"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=787"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=787"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}