Cette faille, spécifique à Windows XP, et relevée dès 2005 par David Litchfield de Next Generation Security Software, n’avait en effet pas été colmatée par le Critical Patch Update (CPU) du mois d’Avril 2007.

La vulnérabilité concerne les serveurs Windows XP abritant une base Oracle et dont la fonctionnalité de partage de fichiers ainsi que le compte Invité sont activés. L’exploit permet à l’attaquant de gagner les droits d’administrateur de base de données.

En effet, il suffit à l’attaquant de trouver le nom d’un membre du groupe ORA_DB et de créer un tel utilisateur sur son propre système. Le compte Invité étant actif sur la machine serveur, et Oracle utilisant les méchanismes de sécurité de Windows XP, le mot de passe n’est pas vérifié, et l’attaquant est de fait accrédité comme DBA.

On rappelle que lorsque le compte Invité est activé sur un système XP, il est possible de s’authentifier sans login ou mot de passe valide. Pour savoir si un tel compte est actif, la commande « net user Invité » peut être d’une aide précieuse.

Si vous utilisez Oracle Database Server 9.2.0.8 sous Windows, voilà qui devrait, au moins partiellement, mettre fin à vos insomnies.