Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Membre extrêmement actif
    Avatar de Bruno
    Homme Profil pro
    Enseignant
    Inscrit en
    mai 2019
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : mai 2019
    Messages : 144
    Points : 10 419
    Points
    10 419
    Par défaut Des chercheurs découvrent une porte dérobée dénommée skip-2.0 ciblant le SGBD Microsoft SQL-Server
    Des chercheurs découvrent une porte dérobée dénommée skip-2.0 ciblant le SGBD Microsoft SQL-Server
    et permettant aux cybercriminels de persister dans le serveur de la victime

    Une attaque d’accès est une tentative d’accès à un autre compte utilisateur ou à une quelconque ressource informatique par des moyens inappropriés et non autorisés. Les attaques d'accès exploitent des vulnérabilités connues dans les services d'authentification, les services FTP et les services Web pour accéder aux comptes Web, aux bases de données confidentielles et à d'autres informations sensibles.

    ESET, l’entreprise de technologie basée à Bratislava, en Slovaquie, et spécialisée dans le développement des logiciels et des services de sécurité informatique a annoncé lundi la sortie de skip-2.0 un logiciel malveillant pouvant modifier les bases de données sur Microsoft SQL-Server (MSSQL) en créant un mécanisme de porte dérobée permettant aux pirates de se connecter à n’importe quel compte à l’aide d’un « mot de passe magique. »

    Le groupe de cyberespionnage Winnti déjà soupçonné d’avoir perpétré des attaques contre diverses sociétés et qui serait à l’origine du logiciel malveillant « Malware anti-virus » qui pousse les victimes à payer pour une fausse licence de logiciel de sécurité serait également à l’origine de ce nouveau logiciel malveillant skip-2.0. Dans le rapport publié lundi, ESET a déclaré que les pirates informatiques utilisaient la porte dérobée comme outil de post-infection faisant partie d’une chaîne de destruction.

    Nom : CHI.png
Affichages : 15600
Taille : 31,8 Ko

    « Cette porte dérobée permet non seulement à l'acteur de la menace de persister dans le serveur MSSQL de la victime grâce à l'utilisation d'un mot de passe spécial, mais également de ne pas être détecté par les multiples mécanismes de publication des journaux d’événements qui sont désactivés lorsque ce mot de passe est utilisé », explique Mathieu Tartare, chercheur ESET enquêtant sur le groupe Winnti. Une telle porte dérobée pourrait également permettre à un attaquant de copier, modifier ou supprimer furtivement le contenu d’une base de données.

    En effet, grâce à une porte dérobée, l’acteur de la menace peut établir un accès persistant sur le système ciblé. Elle fournit généralement à l'acteur de la menace un moyen d'accéder au système à tout moment, sans alerter les utilisateurs du système ou les systèmes de sécurité du réseau. Les acteurs de la menace peuvent ainsi configurer leurs outils (même en définissant un calendrier pour un accès automatisé régulier) pour atteindre la cible et exécuter des tâches malveillantes. Les fonctions ciblées par skip-2.0 sont liées à l'authentification et à la journalisation des événements ; elles incluent :

    • ReportLoginSuccess
    • FExecuteLogonTriggers
    • IssueLoginSuccessReport
    • XeSqlPkg::login:: Publish
    • SecAuditPkg::audit_event:: Publish
    • XeSqlPkg::sql_batch_completed:: Publish
    • XeSqlPkg::ual_instrument_called:: Publish
    • CPwdPolicyManager::ValidatePwdForLogin
    • CSECAuthenticate::AuthenticateLoginIdentity
    • XeSqlPkg::sql_statement_completed:: Publish

    La fonction la plus intéressante est (CPwdPolicyManager::ValidatePwdForLogin), qui est responsable de la validation du mot de passe fourni pour un utilisateur donné. L'idée étant de créer un « mot de passe magique ». Si ce mot de passe est utilisé lors d’une session d'authentification, l'accès est automatiquement accordé à l'utilisateur, tandis que l'exécution des fonctions de journalisation et d'audit normales est empêchée, ce qui crée une session fantôme à l'intérieur du serveur.

    Nom : motDepasse456.png
Affichages : 1434
Taille : 26,8 Ko

    Le logiciel malveillant skip-2.0 compatible avec les serveurs MSSQL v12 et v11 possède des similitudes avec d'autres outils connus de l'arsenal du groupe Winnti (nom générique utilisé par ESET pour décrire les pirates informatiques qui seraient sponsorisés par l'État chinois), en particulier avec les portes dérobées PortReuse et ShadowPad ainsi que les outils tels que VMProtected et Inner-Loader injector utilisant les mêmes procédures. Après le lancement par Inner-Loader, skip-2.0 vérifie d'abord s'il s'exécute dans un processus sqlserv.exe et si c'est le cas, récupère un descripteur vers sqllang.dll, qui est chargé par sqlserv.exe. Il procède ensuite à la recherche de plusieurs fonctions à partir de cette DLL.

    Nom : skip456.png
Affichages : 1432
Taille : 16,9 Ko
    Chaîne de compromis de skip-2.0


    Source : ESET

    Et vous ?

    Quel est votre avis sur le sujet ?

    Comment comprendre l’existence d’une telle faille dans un système conçu par une société aussi fiable ?

    Quelles peuvent être les motivations des Chinois au regard de leur investissement dans la cybercriminalité ?


    Voir aussi :

    Des pirates ont détourné le système de mise à jour logicielle d'ASUS pendant plusieurs mois, pour installer une porte dérobée sur des milliers de PC

    Google confirme que la porte dérobée avancée a été préinstallée sur les appareils Android, avant qu'ils ne quittent les usines des fabricants

    Facebook : aucune « porte dérobée » de sécurité n'est prévue pour WhatsApp, qui permettrait d'analyser les messages non chiffrés sur les téléphones
    Bien avec vous.

  2. #2
    Rédacteur
    Avatar de SQLpro
    Homme Profil pro
    YYYY
    Inscrit en
    mai 2002
    Messages
    19 204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : YYYY
    Secteur : Conseil

    Informations forums :
    Inscription : mai 2002
    Messages : 19 204
    Points : 45 391
    Points
    45 391
    Par défaut
    MS SQL V11 => SQL Server 2012, plus supporté par MS, depuis 2015, sauf contrat de support étendu jusqu'en 2022
    MS SQL V12 => SQL Server 2014, plus supporté par MS depuis 2017, sauf contrat de support étendu jusqu'en 2024

    Moralité il est important de maintenir à jour ses versions.....

    A +
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Enseignant CNAM PACA - ISEN Toulon - CESI Aix en Provence * * * * *

  3. #3
    Expert éminent sénior

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    avril 2002
    Messages
    2 102
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : avril 2002
    Messages : 2 102
    Points : 13 773
    Points
    13 773
    Par défaut
    Tout à fait, mais justement il y a énormément d'entreprises, surtout les PME ou un SQL-Server à été installé à un moment donné par un informaticien de passage, puis personne n'a fait de mise à jour depuis, donc il reste un parc important avec des anciennes versions. Le processus de mise à jour systématique vers les versions récentes doit vraiment être prévu à l'avance, c'est impératif pour ne pas être victime de failles.
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  4. #4
    Membre éprouvé
    Profil pro
    Inscrit en
    décembre 2004
    Messages
    568
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2004
    Messages : 568
    Points : 1 032
    Points
    1 032
    Par défaut
    Excellente publicité !
    Non ?
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    770
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 770
    Points : 3 055
    Points
    3 055
    Par défaut
    Oui mais ça viens d'ESET donc Microsoft à pas payé un centime pour cette pub pour migrer à la dernière version de SQL-Server
    « L’humour est une forme d'esprit railleuse qui s'attache à souligner le caractère comique, ridicule, absurde ou insolite de certains aspects de la réalité »

Discussions similaires

  1. Réponses: 0
    Dernier message: 22/02/2017, 14h36
  2. Réponses: 4
    Dernier message: 05/08/2016, 16h22
  3. Des chercheurs découvrent une faille dans la mémoire cache
    Par Olivier Famien dans le forum Actualités
    Réponses: 35
    Dernier message: 02/05/2015, 20h34
  4. Réponses: 1
    Dernier message: 14/01/2014, 12h31
  5. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo