Haro sur Windows Server ! Toutes les versions serveur du système (Windows 2000 Server SP4, Windows Server 2003 SP1 et Windows Server 2003 SP2) peuvent potentiellement être détournées à distance.L’attaque cible l’interface RPC du service de résolution des noms (DNS), activée par défaut à l’installation du système. La vulnérabilité serait utilisée par des pirates depuis au moins le 4 avril dernier, date de la première attaque confirmée par le SANS, un organisme de veille américain.La faille ne touche cependant pas le service DNS lui-même (actif au port TCP/53), mais le lien qui existe entre lui-même et le service RPC. Ce dernier est un coupable habituel bien connu, dont les boulettes et autres manquements sont à l’origine de nombreuses attaques et de grandes épidémies (c’était notamment la méthode d’infection utilisée par le ver Blaster).Les attaques observées jusqu’à présent par le SANS suivent un scénario très traditionnel : des analyses sauvages sont dirigées vers les ports TCP/1024 à TCP/2048 des serveurs accessibles publiquement. Si un service RPC vulnérable est découvert, une connexion vient alors l’exploiter et ouvrir une porte d’accès sur la machine (au port TCP/1100). Cette dernière est ensuite utilisée pour déposer et exécuter un script Visual Basic sur le serveur. Celui-ci télécharge ensuite l’outil PWDUMP depuis – pour l’instant – un serveur basé à Taiwan. PWDUMP est un outil de casse par force brute des mots de passe Windows.Il ne s’agit ici bien entendu que des premières attaques observées. N’importe quel code malicieux peut-être exécuté de la sorte, et il le sera avec les droits SYSTEM de Windows.Cette vulnérabilité ne concernant que les versions « serveur » du système d’exploitation, Windows 2000 Professional SP4, Windows XP SP2 et Windows Vista ne sont pas vulnérables. Pour ce dernier d’ailleurs, Microsoft a pris les devant lors de sa conception : le service RPC a été ré-écrit afin de limiter de tels abus. Il ne bénéficie notamment plus des droits SYSTEM et ne peut manipuler le système de fichier à sa guise. Cette attaque n’aurait ainsi probablement pas été possible sur la version serveur (à venir !) de Windows Vista.Bien que Microsoft ait reconnu la vulnérabilité et que cette dernière soit exploitée, aucun correctif n’est encore disponible. L’éditeur a cependant offert deux conseils afin de limiter l’exposition des serveurs à cette vulnérabilité : modifier la base de registre afin d’interdire le lien RPC vers le service DNS ou bloquer les connexions aux ports 1024 à 5000 lorsque c’est possible.Par ailleurs, un « patch virtuel » non-officiel est proposé par l’éditeur Bluelane aux utilisateurs de ses boîtiers PatchPoint et de son logiciel VirtualShield.