Un ver ‘botworm’ exploite le ‘bug’ Windows DNS

Les premiers assauts sur le port 1025, tentant d’exploiter le ‘bug’ DNS
découvert il y a quelques jours, ont été repérés

Des chercheurs et éditeurs en sécurité informatique signalent depuis ce 17 avril une recrudescence de l’activité des pirates de la Toile autour de la vulnérabilité 0 Day dans le service Windows DNS (système de noms de domaines).

Cette nouvelle confirme que les voyous du Web sont à la recherche des systèmes vulnérables. Rappelons que cette vulnérabilité permet à un hacker de prendre le contrôle des systèmes Windows Server 2000 et Server 2003.

Les cybercriminels utilisent une faille encore non corrigée dans certaines versions du logiciel Windows, admet Microsoft dans une alerte publiée sur son site.

Rappelons que le DNS permet d’établir une correspondance entre une adresse IP et un nom de domaine, et de trouver une information à partir d’un nom de domaine. Les attaques signalées par Microsoft se produisent par l’envoi de données malveillantes à ce service.

McAfee, par l’intermédiaire de ces laboratoires AvertLabs, indique qu’une variante du ver Nirbot, que l’on nomme également Rinbot, essaie d’exploiter cette vulnérabilité en ballade sur la Toile.

Dans une note publiée sur son blog, le chercheur en virus Craig Schmugar indique que le botworm était « contrôlé via un channel privé de IRC (Internet Relay Chat) ce qui permet à un attaquant de prendre le contrôle à distance de l’ordinateur de sa cible. »

Enfin, l’éditeur précise qu’il existe certainement d’autres variantes de NirBot en circulation.

Ces nouveaux botworms scannent le réseau à la recherche de serveurs vulnérables. Une fois que la cible a été identifiée, les pirates essaient de prendre le contrôle de la machine.

De son côté, Symantec a lancé une alerte ce mardi 17 avril après avoir constaté une augmentation rapide des scans TCP/UDP sur le Port 1025. Le premier port utilisé par le protocole RPC de Windows (Remote Procedure Call).

Le ‘bug’ dans Windows 2000 Server et dans Windows Server 2003 que Microsoft a confirmé, peut être exploité en envoyant un paquet RPC sur le port 1025 (ou au dessus) permettant de faire des appels de procédures sur un ordinateur distant à l’aide d’un serveur d’application pour infecter un système.

Pour sa part le SANS Institute Internet Storm Center, a confirmé l’information donnée par les éditeurs de sécurité : « Nous avons également relevé une augmentation de l’activité du ver Rinbot qui cherche à communiquer via le port 1025/tcp. Une fois qu’il est connecté, il essaye de lancer une requête Windows 2000 DnsservQuery, de façon à exploiter la vulnérabilité DNS RPC. »

Microsoft admet un regain d’activité des hackers autour de cette faille et recommande le blocage du port 1025 via le pare-feu et la désactivation de la fonction RPC des serveurs DNS.