Protégez Windows du hacking ! [MàJ !]
La PPS (Product Support Services) Security Team de Microsoft vient de ...
La PPS (Product Support Services) Security Team de Microsoft vient de publier une alerte faisant état d'une forte recrudescence d'activités de "hacking", visant en particulier les systèmes Windows NT 4.0, Windows NT 4.0 Terminal Server Edition, Windows XP, et Windows XP 64 bit Edition : Voir l'alerte chez Microsoft.
D'après ce document, les symptômes caractéristiques de ces attaques seraient :
- la présence de Chevaux de Troie, tels que Backdoor.IRC.Flood et ses variantes
- la modification de la politique de sécurité des contrôleurs de domaine, dont les effets peuvent être :
* la réactivation de comptes invités préalablement désactivés
* la modification de permissions sur les serveurs ou dans Active Directory
* l'impossibilité de se connecter au domaine à partir de tous les postes de travail
* l'impossibilité d'ouvrir des snap-ins Active Directory dans la MMC
* de multiples tentatives de connexion infructueuses dans les journaux d'événements
D'autre part, les fichiers suivants ont également été trouvés sur les systèmes compromis par ces attaques :
- Gg.bat
Gg.bat tente de se connecter à d'autres serveurs en tant que "Administrator", "Admin", ou "Root". Il recherche ensuite Flashfxp et Ws_ftp sur le serveur, puis y copie plusieurs fichiers, dont Ocxdll.exe.
Gg.bat utilise par la suite le programme Psexec pour exécuter des commandes sur le serveur distant.
-Cesed.bat
Cesed.bat modifie la politique de sécurité.
- Nt32.ini
- Ocxdll.exe
- Psexec
- Ws_ftp
- Flashfxp
- Gates.txt
Le document PSS "Hacking Alert" sur le site Microsoft :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q328691
Informations détaillées sur Backdoor.IRC.Flood sur le site Symantec :
http://www.symantec.com/avcenter/venc/data/backdoor.irc.flood.html
Les recommandations du CERT pour rétablir un système compromis :
http://www.cert.org/tech_tips/root_compromise.html
Merci à Genius ! ;-)
- Mise à jour :
Microsoft vient de compléter le patch destiné à corriger la vulnérabilité
concernant les certificats numériques et l'authentification de signatures.
Ce nouveau patch s'applique désormais également à :
- Windows 98
- Windows 98 Second Edition
- Windows Me
N.B : le patch diffusé hier concernait uniquement Windows NT 4.0, Windows NT 4.0 Terminal Server Edition, Windows XP, et Windows XP 64 bit Edition.
Microsoft annonce également la disponibilité prochaine de correctifs pour :
- Windows 2000
- Office v.X for Mac
- Office 2001 for Mac
- Office 98 for the Macintosh
- Internet Explorer for Mac (for OS 8.1 to 9.x)
- Internet Explorer for Mac (for OS X)
- Outlook Express 5.0.5 for Mac
Nous vous tiendrons au courant dès leur disponibilité.
D'après ce document, les symptômes caractéristiques de ces attaques seraient :
- la présence de Chevaux de Troie, tels que Backdoor.IRC.Flood et ses variantes
- la modification de la politique de sécurité des contrôleurs de domaine, dont les effets peuvent être :
* la réactivation de comptes invités préalablement désactivés
* la modification de permissions sur les serveurs ou dans Active Directory
* l'impossibilité de se connecter au domaine à partir de tous les postes de travail
* l'impossibilité d'ouvrir des snap-ins Active Directory dans la MMC
* de multiples tentatives de connexion infructueuses dans les journaux d'événements
D'autre part, les fichiers suivants ont également été trouvés sur les systèmes compromis par ces attaques :
- Gg.bat
Gg.bat tente de se connecter à d'autres serveurs en tant que "Administrator", "Admin", ou "Root". Il recherche ensuite Flashfxp et Ws_ftp sur le serveur, puis y copie plusieurs fichiers, dont Ocxdll.exe.
Gg.bat utilise par la suite le programme Psexec pour exécuter des commandes sur le serveur distant.
-Cesed.bat
Cesed.bat modifie la politique de sécurité.
- Nt32.ini
- Ocxdll.exe
- Psexec
- Ws_ftp
- Flashfxp
- Gates.txt
Le document PSS "Hacking Alert" sur le site Microsoft :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q328691
Informations détaillées sur Backdoor.IRC.Flood sur le site Symantec :
http://www.symantec.com/avcenter/venc/data/backdoor.irc.flood.html
Les recommandations du CERT pour rétablir un système compromis :
http://www.cert.org/tech_tips/root_compromise.html
Merci à Genius ! ;-)
- Mise à jour :
Microsoft vient de compléter le patch destiné à corriger la vulnérabilité
concernant les certificats numériques et l'authentification de signatures.
Ce nouveau patch s'applique désormais également à :
- Windows 98
- Windows 98 Second Edition
- Windows Me
N.B : le patch diffusé hier concernait uniquement Windows NT 4.0, Windows NT 4.0 Terminal Server Edition, Windows XP, et Windows XP 64 bit Edition.
Microsoft annonce également la disponibilité prochaine de correctifs pour :
- Windows 2000
- Office v.X for Mac
- Office 2001 for Mac
- Office 98 for the Macintosh
- Internet Explorer for Mac (for OS 8.1 to 9.x)
- Internet Explorer for Mac (for OS X)
- Outlook Express 5.0.5 for Mac
Nous vous tiendrons au courant dès leur disponibilité.
Source :
INpact-Hardware
Teuf
le 6 septembre 2002 à 08:06
(2 144
lectures)
Actualités et brèves relatives
