... A son propre poison!
En réponse à un niveau de menace élevé, Microsoft met à jour ses recommendations de sécurité concernant ses applications-serveur et les attaques par empoisonnement du cache DNS.
Mercredi 6 avril, la firme de Redmond a revu à la hausse les réglages recommandés pour certains produits Windows Server, clarifiant enfin quelles sont les configurations qui laissent la porte ouverte à l'empoisonnement du cache DNS. Cette mise à jour de sécurité fait suite à un rapport d'Internet Storm Center, qui a recensé un certain nombre de cas où le cache DNS de serveurs a fait l'objet de ce type d'attaque.
La pratique de l'empoisonnement du cache DNS suppose une entrée par 'effraction' dans le cache DNS (Domain Name Server) , et le remplacement des adresses légitimes qui y figurent par d'autres adresses, renvoyant vers des sites beaucoup moins honnêtes. En général, l'utilisateur est inconsciemment renvoyé vers des sites imitant des adresses légitimes, où on lui demandera de renseigner un certain nombre de données sensibles, quand on ne lui installera pas tout simplement des logiciels espions; cet assaut en ligne porte le nom évocateur de 'pharming', en référence au déjà tristement célèbre 'phishing'. (1)
Début mars, ISC mettait en garde contre l'empoisonnement du cache DNS, et les redirections vers des sites où toutes sortes de logiciels à vocation pirate pouvaient être chargés sur nos PC. Ces attaques visent différents systèmes, incluant les applications-serveur de Microsoft, et les logiciels de sécurité du spécialiste Symantec.
Quelques jours plus tard, toujours selon l'ISC, une deuxième vague d'attaques renvoyait les internautes imprudents vers des sites soit-disant pharmaceutiques, et les attaques de logiciels-espions s'accentuaient.
Sur son site, un des spécialistes d'ISC, Kyle Haugsness, indiquait alors que les attaques semblaient se tourner vers les serveurs dont les mises à jour n'avaient pas été effectuées à temps.
Il ajoutait: "après examen de la situation pendant plusieurs semaines, il semble évident que les assaillants changent de méthodes et d'outils, se communiquant les adresses des serveurs vulnérables afin de perpétuer -et de perpétrer- leurs méfaits".
Le problème touche particulièrement Windows Server 2003 (incluant les versions Standard, Entreprise et DataCenter), Windows 2000 Server (y compris les versions Advanced et DataCenter) et Windows NT Server 4.0 Standard Edition, confie Microsoft. Les serveurs dotés du Service Pack 3, ou tournant sous des versions d'OS postérieures à la date de sortie de ce même pack, sont déjà protégées contre cette pollution du cache DNS en configuration par défaut. Dans les cas inverses, les réglages appropriés doivent être effectués, via la 'Console de Gestion du DNS'.
ISC souligne aussi un second scenario d'empoisonnement du cache DNS touchant les produits Microsoft: lorsqu'ils communiquent des données à un de leurs pairs, les serveurs DNS Windows supposent que le cache du serveur receveur sera 'nettoyé', et les adresses falsifiées éliminées. Cependant, il apparait, selon ISC, qu'en pareil cas, les serveurs DNS Windows acceptent toutes les données reçues, quels que soient les réglages choisis. ISC conseille aux gestionnaires informatiques de s'assurer que leurs serveurs filtrent bien les menaces faites au DNS.
La fréquence de ces attaques est en nette augmentation, ce qui a encouragé ISC à élever le niveau de menace sur le sujet à 'jaune', indiquant l'émergence d'une 'nouvelle menace significative'. Le baromètre de sécurité Internet d'ISC pour les infrastructures, Infocon, qui répertorie les attaques, et leur gravité, sur le Web, est assez similaire à celui employé par le Département américain de la Sécurité Intérieure.
Et si 'jaune' est le troisième niveau sur quatre dans l'échelle des menaces selon ISC, il est bon de noter que la société a déjà attribué cette notation à des fléaux tels que MSBlast et Slammer...
(1): le traducteur que je suis doit préciser ici un peu les choses; le mot 'phishing' se veut le pendant informatique de 'fishing' (pêcher du poisson), puisque les pirates informatiques vont à la pêche aux données sensibles en abusant de stratagèmes déjà maintes fois décrits ici. 'Pharming' est l'équivalent sur le Web de 'farming' (agriculture), puisqu'il est ici question de récolter les informations que l'internaute peu averti fournit de son plein gré, mais si c'est sous de faux prétextes.
