Depuis quelques jours a commencé l'exploitation d'une faille de sécurité présente sur les systèmes Windows à base de noyau NT. La faille affecte le service lsass.exe (Security Accounts Manager) et permet au choix d'effectuer un Denial of Service (reboot de la machine) ou d'installer un programme en vue de prendre le controle de la machine distante.
 
Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de Sasser le correctif MS04-011 est impératif. Pour parer ce type d'attaques un pare-feu (firewall) est une bonne chose, celui intégré à Windows XP fait tout à fait l'affaire. Un anti-virus ne sera pas particulièrement efficace en vue de prévenir l'attaque, au mieux il pourra réparer les dégats la machine une fois infectée.  
 
 
Microsoft Security Bulletin MS04-011 :
Bulletin en français ou en anglais
 
 
Téléchargements du correctif pour :
 
Windows 2000 anglais :
http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE
 
Windows 2000 français :
http://download.microsoft.com/download/0/1/6/016bd08b-1a0a-4ce6-9c3f-bc1f4ccb1b9b/Windows2000-KB835732-x86-FRA.EXE
 
Windows XP anglais :
http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE
 
Windows XP français :
http://download.microsoft.com/download/6/2/e/62e5a992-b54b-4d86-88ed-ea06852c5c46/WindowsXP-KB835732-x86-FRA.EXE
 
Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
- MBSA Homepage
- Téléchargement MBSA 1.2 anglais
- Téléchargement MBSA 1.2 français
 
 
Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Sous Windows 2000 :
- Télécharger shutdown.exe et l'enregistrer dans le répertoire d'installation de Windows.
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.
 
 
Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, les symptomes sont les suivants :
- un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe dans le dossier d'installation de Windows. MàJ : Apparition de variantes B et C où l'exécutable s'appelle "avserve2.exe"
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur
- la présence d'un fichier C:\WIN.LOG (respectivement WIN2.LOG pour les variantes B et C)
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996.
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :
 
http://www.rathgeb.org/temp/sasser_a.gif
 
http://www.rathgeb.org/temp/sasser_b.gif
 
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
 
 
Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne ou un removal tool (voir ci-dessous), en voici quelques-uns :
- Symantec Security Check
- Trend Micro Scanning Housecall
- Panda Software ActiveScan
- BitDefender Free Online Virus Scan
- McAfee FreeScan
- RAV AntiVirus - Scan Online
- Kaspersky Labs Online Virus Scanner (permet uniquement l'envois d'un fichier suspecté d'être un virus)
 
Removal Tools pour Sasser (outils permettant d'éliminer le vers automatiquement) (03.05.2004 à 8h00) :
- McAfee AVERT Stinger
- Trend Micro Sysclean Package
- Symantec FxSasser.exe (W32.Sasser Removal Tool)
- Panda Software PQRemove for Sasser.A
- Microsoft Sasser.A and Sasser.B Worm Removal Tool (KB841720)
 
 
Dernières mises à jour chez les éditeurs de logiciels AV (03.05.2004 à 8h00) :
- Symantec Security Response : W32.Sasser.Worm, W32.Sasser.B.Worm, W32.Sasser.C.Worm, W32.Gaobot.AFW, W32.Gaobot.AFJ, W32.Gaobot.AFC
- McAfee Security : W32/Sasser.worm, W32/Sasser.worm.b, W32/Sasser.worm.c, Exploit-MS04-011, W32/Gaobot.worm.ali
- Trend Micro : WORM_SASSER.A, WORM_SASSER.B
- Sophos : W32/Sasser.worm, W32/Sasser-B
- Panda Software : Sasser.A, Sasser.B, DSScan.A
- Antivir : Worm/Sasser.A
- Computer Associates : W32/Sasser.A, W32/Sasser.B, W32/Sasser.C, Microsoft Windows LSASS buffer overflow vulnerability
- F-Secure : Sasser, Sasser.B, Sasser.C
- RAV Antivirus : Win32/Sasser.worm, Win32/Sasser.B.worm
- Norman : W32/Sasser.A, W32/Sasser.B
- F-Prot : W32/Sasser.A
- Kaspersky : Worm.Win32.Sasser.a, Worm.Win32.Sasser.b
- Avast : Win32:Sasser
- Hauri : Worm.Win32.Sasser.15872, Worm.Win32.Sasser.15872.B
- Grisoft AVG : pas d'infos...
 
 
Microsoft à propos du vers Sasser :
What You Should Know About the Sasser Worm and Its Variants
 
 
Source : le Requin sur le forum : http://forum.hardware.fr/hardwarefr/WindowsSoftwareReseaux/sujet-165501-1.htm