Num�ro d'article: 313418 - Derni�re mise � jour: vendredi 27 juillet 2007 - Version: 7.5

Un serveur SQL Server non s�curis� qui a un mot de passe administrateur de syst�me (NULL) vide permet vuln�rabilit� un ver

Cliquez ici si vous souhaitez afficher en c�te � c�te l?article anglais et sa traduction automatique en fran�ais

ATTENTION : Cet article est issu du syst�me de traduction automatique

Voir les produits auxquels s'applique cet article

A noterCet article s'applique � un syst�me d'exploitation diff�rent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-�tre pas est d�sactiv�.

Agrandir tout | R�duire tout

Sympt�mes

Un ver, nom de code �voyager alpha force,"qui exploitent vide SQL Server mots de passe administrateur ( sa ) syst�me a �t� trouv� sur Internet. Le ver recherche pour un serveur qui ex�cute SQL Server par l'analyse pour le port 1433. Port 1433 est le port par d�faut de SQL Server. Si le ver trouve un serveur, il essaie de se connecter � l'instance par d�faut de ce SQL Server avec un mot de passe (NULL) sa vide.

Si la connexion est r�ussie, il diffuse l'adresse du serveur SQL non prot�g�s sur un canal IRC (Internet Relay Chat) et puis essaie de charger et ex�cuter un fichier ex�cutable � partir d'un site FTP dans Philippines. Se connecter � SQL Server comme sa fournit l'acc�s d'administration utilisateur � l'ordinateur et selon votre environnement particulier, �ventuellement l'acc�s aux autres ordinateurs.

Retour au d�but

Contournement

Chacune des �tapes de cette section vous aidera � s�curiser votre syst�me en g�n�ral, et n'importe lequel d'entre seul �vitera ce ver particulier d'infecter votre serveur qui ex�cute SQL Server. Notez que ces �tapes sont une partie de la s�curit� standard �m�thodes conseill�es� pour une installation SQL Server.

Si votre mode d'authentification est en mode mixte (Windows Authentication et l'authentification SQL Server), de votre compte sa connexion avec un mot de passe non NULL. Le ver ne fonctionne que si vous ne disposez aucun s�curit� pour votre compte de connexion sa . Par cons�quent, il est pr�f�rable de suivre la recommandation de la rubrique "Administrateur syst�me (SA) connexion" dans la documentation en ligne de SQL Server pour v�rifier que le compte sa int�gr� poss�de un mot de passe fort, m�me si vous n'utilisez directement le compte sa vous-m�me. Pour une s�curit� accrue, Activer Mode d'authentification Windows (authentification Windows uniquement), supprimant ainsi la possibilit� pour personne � ouvrir une session tant qu'utilisateur sa . Configurer vos clients pour utiliser l'authentification Windows.
Activer l'audit des connexions r�ussies et infructueuses, puis arr�tez et red�marrez le service MSSQLServer.
Bloquez le port 1433 au niveau de vos passerelles Internet et affecter SQL Server d'�couter sur un autre port.
Si le port 1433 doit �tre disponible sur vos passerelles Internet, activez sortie/ingress pour emp�cher toute utilisation abusive de ce port. Remarque contactez votre administrateur r�seau ou votre fournisseur de pare-feu pour plus d'informations des ingress/sortie de filtrage.
S'ex�cuter le service SQLServer et l'Agent SQL Server sous un compte de Microsoft Windows NT ordinaire, pas un compte d'administration local.

Pour informations sur la fa�on de r�cup�rer un syst�me d�j� compromis, visitez du ind�pendant CERT Coordination Center � l'adresse suivante :

��tapes de r�cup�ration � partir un UNIX ou NT System Compromise�
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html (http://www.cert.org/tech_tips/win-UNIX-system_compromise.html)

�Intrus d�tection Checklist�
http://www.cert.org/archive/pdf/WIDC.pdf (http://www.cert.org/archive/pdf/widc.pdf)

Microsoft fournit des informations contacts de tiers pour vous aider � trouver support technique. Informations de contact peuvent changer sans pr�avis. Microsoft ne garantit pas l'exactitude de ces informations contacts fournisseur tiers.

Retour au d�but

Plus d'informations

important : il n'existe aucun bogue dans SQL Server qui permet cette intrusion ; il est une vuln�rabilit� qui est cr��e par un syst�me non s�curis�.

Les fichiers suivants indiquent la pr�sence du ver :

rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)

En outre, l'apparence de la cl� de Registre suivante indique la pr�sence de ce ver :

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg

Les cl�s de Registre suivantes sont les cl�s existantes pour SQL Server et ils sont utilis�s par le ver pour contr�ler l'acc�s � l'ordinateur en utilisant la biblioth�que r�seau TCP/IP :

SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY

Le ver utilise la proc�dure stock�e, qui permet le ver ex�cuter toute commande du syst�me d'exploitation que le compte qui ex�cute le service SQL Server dispose de l'autorisation d'ex�cuter �tendue xp_cmdshell .

Pour plus d'informations sur la fa�on de s�curiser un serveur SQL Server, reportez-vous aux sites Web de Microsoft aux adresses suivantes :

http://www.microsoft.com/sql/technologies/security/default.mspx (http://www.microsoft.com/sql/technologies/security/default.mspx)

http://technet.microsoft.com/en-us/library/bb545450.aspx (http://technet.microsoft.com/en-us/library/bb545450.aspx)

Retour au d�but

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft SQL Server 2000 Standard
Microsoft SQL Server 7.0 Standard
Microsoft Data Engine 1.0

Retour au d�but

kbmt kbprb KB313418 KbMtfr

Retour au d�but

Traduction automatique

IMPORTANT : Cet article est issu du syst�me de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis � votre disposition en compl�ment des articles traduits en langue fran�aise par des traducteurs professionnels. Cela vous permet d?avoir acc�s, dans votre propre langue, � l?ensemble des articles de la base de connaissances r�dig�s originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne �trang�re s?exprimant dans votre langue !). N�anmoins, mis � part ces imperfections, ces articles devraient suffire � vous orienter et � vous aider � r�soudre votre probl�me. Microsoft s?efforce aussi continuellement de faire �voluer son syst�me de traduction automatique.

La version anglaise de cet article est la suivante: 313418� (http://support.microsoft.com/kb/313418/en-us/ )

Retour au d�but

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.