La faille RPC/DCOM

    Historique :

   Elle a été révélée à Microsoft par The Last Stage of Delirium Research Group en date du 16/07/2003. Le même jour, un patch correctif a été diffusé : MS04-012 (cumulatif RPC) ainsi qu'un article de la Base de Connaissances.

   Le 21 Juillet 2003, le groupe XFocus publiait du code permettant l'exploitation de la faille.

   Le 3(4?) Août 2003, le premier trojan exploitant cette faille apparaît.

   Le 11 Août 2003 au soir, 2 nouveaux vers sont décelés, provoquant une avalanche d'infections et de services RPC en panne. Le plus courant est le vers W32.Blaster.Worm (ou W32/Lovsan.Worm) (MSBLAST.exe UPX Auto-Extractible 6176 Octets) Alerte PSS Microsoft

   Depuis est apparu un "anti"-ver nommé Welchia(Nachi) qui possède la particularité de supprimer Blaster et de patcher le système. Un effet de bord dû à celui-ci se fait quelques fois sentir : Il utilise 100% des ressources processeur sous le nom de svchost (attention de ne pas confondre avec le svchost légitime du système)

Un aperçu du traffic généré par le port 135.

Votre port 135 est t'il ouvert ?


   Synthèse :

   Conditions de vulnérabilité :

   XP (ou NT/W2K/W2K3) sans pare-feu et sans le patch MS03-26

   Exploitation de la faille :

    a) la faille est bien exploitée, l'offset est bon, le ver télécharge le virus qui continue son boulot...

    b) la faille est mal exploitée, l'offset est dans "les choux", le PC plante sur RPC, mais le ver n'est pas téléchargé, et le PC n'est pas infecté :

Alerte "Arrêt du système" avec décompte

   Il existe plusieurs variantes d'exploitation de la faille, ce qui veut dire qu'un PC peut à la fois planter sur l'exploitation d'un mauvais offset par un ver et être infecté par un autre... Il y a un gros pourcentage de PC plantés par rapport aux PC infectés. (Malheureusement, cette tendance risque de s'inverser...)

   Un de ces vers produit un effet plus per...vers :
    Il patche le système...   ouf...
    Mais installe un trojan !!!          :-(

   L'explication en image :

Schéma exploitation RPC DCOM


   Solutions :

   1) Activer le pare-feu de XP (tout le monde peut le faire et il est facile à utiliser), ça devrait bloquer les reboots RPC. (Les utilisateurs du lanceur Wanadoo qui ne peuvent accéder aux propriétés de leur connexion doivent désinstaller ce lanceur et configurer leur connexion à la main)
    (Les redémarrages peuvent être interrompus par un :
    Démarrer > Exécuter:
shutdown -a
    passé durant la minute du compte à rebours)

   2) télécharger le patch MS03-39 (plus complet que le MS03-26) :
http://www.microsoft.com/france/technet/themes/Secur/Info/MS04-012.html

Adresses alternatives de téléchargement de ce correctif
(en cas de défaillance de Windows Update) (ou alors : http://support.microsoft.com/?kbid=823980)

   3) Désinfecter éventuellement le PC avec un AntiVirus à jour ou avec un fix téléchargé chez un éditeur. (Ex: STINGER)

   Un utilitaire de nettoyage est disponible chez Microsoft.