Quand Microsoft rencontre les frères Lumières

…vous obtenez un nouvel épisode de l’arroseur arrosé. Il semble en effet que le Borg ait été lui aussi victime de Slammer, ce worm/virus qui met à mal Internet depuis samedi dernier et qui exploite justement une faille dans Microsoft SQL Server.
Tout part d’une flânerie sur le net qui tourne court lorsque je m’aperçois que je ne peux point accéder à Slashdot , sans doute à cause du chaos qui règne encore à l’heure actuelle sur Internet, avec nombre de gros noeuds encore down ou imparfaitement remis sur pied. Le petit Slammer, ou Sapphire, ou Helkern, c’est comme vous préférez, qui s’est manifesté samedi matin dernier, vous a peut-être échappé sur le moment (la France est l’un des pays les moins touchés), mais il fait encore des siennes.

Ma soirée ne s’arrange pas lorsque je lis ce que j’ai reçu aujourd’hui sur la Mailing List de Kaspersky Labs : <a href=http://www.kaspersky.com/news.html?id=970392>c’est ici pour les anglophiles, et en gros, ça nous dit que la fin d’Internet est finalement arrivée, comme le savaient bien les experts en sécurité des réseaux, et que la seule solution est de mettre en place un réseau des réseaux alternatif, beaucoup plus contrôlé grâce à des standards remis à plats. Alternatif, mais libre ? Que nenni ! Méthode suggérée pour l’imposer : que les multinationales web-based concentrent toute leur activité sur ce nouveau réseau, pour forcer les utilisateurs à y migrer. Autrement dit, la Solution Finale du Borg.

Nous en revenons à ce cher Microsoft. Ceux qui ont suivi la discussion sur un certain thread samedi dernier ont vu l’agent secret de [Krosof] infiltré parmi les geeks signaler un point crucial : la faiblesse exploitée par Slammer est connue depuis un certain temps, et il aurait suffi que beaucoup plus d’administrateurs système fassent un peu gaffe à leur boulot pour que le patch soit installé sur beaucoup plus de Microsoft SQL Servers 2000 qui errent sur le Net, empêchant ainsi le worm de nuire à une large majorité qui a la présence d’esprit de fuir MSSQL.

Et c’est bien vrai ! La négligence de ces responsables est la cause première des problèmes qui ont lieu actuellement.

Sauf que c’est là que ça devient drôle… Pour conjurer Murphy je fais un petit tour sur CNN.com et là ô bonheur, je tombe sur cet article. Microsoft n’a même pas été foutu d’installer le patch chez lui !

Bref, une petite touche de légèreté dans les affaires graves que sont les réponses RIAA-esques à l’anarchie contrôlée du Net, la négligence de nombre d’admins système débordés, et surtout, ce qu’il y a de pire : que depuis Wanadoo ADSL, Slashdot.org est toujours très difficile d’accès…

Arf , tu parles de mon thread ? Oui ije me la pète , mais j’ai le droit . :o

Allez le lire , un témoignage édifiant d’un administrateur réseau .

Microsoft n’a même pas été foutu d’installer le patch chez lui !

Pourquoi je sens que GloP va pas tarder à débarquer pour “clarifier” tout ça ? :o

doux euphémisme… :o

Microsoft spokesman Rick Miller declined to say which areas or how many computers at Microsoft were affected. He acknowledged that some servers were left unfixed because administrators “didn’t get around to it when they should have.”

==> Houlalala, il y en a qui vont avoir mal au cul :o

Annonce :

Microsoft recherche de nouveaux admins rézo, sachant appliquer patches sur serveurs. Les anciens ont été retrouvés morts ds la salle des machines, un CD MS SQL à la main. :o))

fais un lien vers ton thread parce que pour le trouver…hum bof je suis pas un concurrent de Fort Boyard moi hein…

(putain je me relit et j’ai encore ecrit un roman et ca fait encore style “je me justifie et je defend MS coute que coute” mais c’est meme pas ca… Ils ont grave couilles chez MS c’est vrai. J’essaye juste de faire comprendre comment ca se passe a Redmond. Maintenant si vous voulez dire “hahaha ils craignent ils se sont fait baiser eux meme” c’est pas faux. Si vous voulez essayez de piger pourquoi vous pouvez lire la suite. )

Bah non y a des mecs qui ont pas fait leur boulot c’est clair. Ca fait mauvais genre et tout mais y a vraiment pas de quoi en faire une news a mon avis et pour plusieurs raisons.

1. le plus important. A ma connaissance il n’y a pas eu un seul serveur de prod dont un admin reseau etait responsable d’infecte

2. 90% des devs MS ont plus de deux machines dans leur bureau, souvent des vieux trucs qu’ils laissent tourner et qu’ils utilisent pour le mail. En general ce sont d’ancienne machine de dev et forcement dessus il y a MSSQL. Deja il pense a patcher sa machine principale c’est bien.

3. dans les labs de test il y a des machines non patchees expres… pour tester les configs que les clients ont chez eux quand ils ont pas installe les services packs ou autre

4. MS paye pas ses license MSSQL, tout les devs ou presque en ont un qui tourne sur leur machine. Je sais pas si qqn realise le nombre de serveur mssql que ca fait. C’est meme pas comparable en densite a n’importe quelle autre boite mondiale. Un reseau local avec plusieurs dizaines de millier de MSSQL qui tourne c’est pas rien…

Bon je sais ca fait pitiee et que la solution pour detecter les patchs critiques devrait etre plus evidentes pour des gens qui sont pas admins reseau. Ca c’est la faute a MS.

Il faut voir aussi que c’est une boite qui est, rien que sur le campus principal, composee de 27 000 geeks. Je parle de vrais geeks, ceux qui aiment/voudraient avoir 5 machines dans leur bureau, des bidouilles de partout et tout. Les meme que vous! Si si, tout pareil, en pire. Vous vous voyez avec la possibilite d’avoir 5 ou 6 machines, de bidouiller a mort tout les jours et que ca soit votre metier? Vous pourriez dire avec mega certitude que tout les patchs seront toujours sur chacune de vos machines a vous? Eux non plus.

Sans rancune GloP, c’est juste que quand j’ai lu la ML de Kaspersky, il m’est grave venu l’envie d’écrire une news sur Slammer – puis quand j’ai vu la mésaventure de MS sur cnn.com je n’ai pu résisté

C’est vraiment histoire d’enfoncer le clou, on se doute bien que c’est pas parce que c’est chez MS que tous les PCs sont suivis minute par minute par une armée big brother ; pas plus qu’on ne doute que les developpeurs y sont des geeks comme les autres, qui sont loin d’avoir du temps à ne passer qu’à appliquer des patchs !

Bref, pour moi l’enjeu principal de cette news c’est l’apocalyptisme et le RIAA-isme de Kaspersky, qui relance le débat sur l’alarmisme commercial de toute boîte vouée à la sécurité. L’histoire chez MS c’est juste pour donner envie de lire :o

Hehe tu sais que je peux pas resister :o Y a pas de mal pour la news. Je suis sensible aussi a l’ironie qui veut que MS critique les admins qui font pas leur boulot et que il y en ait surement dans le tas chez MS qui soient coupables. C’est vrai que ca merite d’en parler :o Je retire ce que j’ai dit ca merite une news.

C’est juste que ca participe a rajouter au truc qui veut que chez MS il y a ait des super bons commerciaux et que techniquement ils touchent pas une bille. M’enfin tant que c’est que ca et base sur des faits je m’en fais pas. Je reconnais clairement que MS aurait pu mieux faire sur ce coup la et qu’il y a eu des erreurs et des progres a faire dans l’installation/detection des patchs. C’est comme ca qu’on progresse, si on se rend compte de ses erreurs.

Si je me plante pas, le buffer overflow se produit sur le port 1434, càd le port de config du serveur SQL.

D’une façon ou d’une autre, une machine MS SQL non patchée a dû avoir son port 1434 accessible depuis le Net. Tu vas pas me faire croire que toutes les machines de bidouillage ont tous leurs ports routables vers le Net ? :o

Visiblement, une machine de prod a été infectée, ce qui a infecté les autres machines non patchées par rezo local…

Non. Aucune des machines de prod, accessibles par les clients pour du biznes, n’est sur le reseau local c’est clairement deux reseaux separes qui n’ont rien a voir.

Pour ce qui est du reseau interne aucun machine n’est censee etre a la fois dehors, accessible depuis le net, et sur l’intranet MS. Les seules machines qui peuvent etre sur les deux sont equipees d’un switch reseau physique pour passer de l’un a l’autre sans jamais etre sur les deux a la fois. Le service de secu interne est grave intraitable sur ca, mais y a des moyens de contourner sans respecter les instructions tres claires, si vraiment on trouve ca chiant de’utiliser le switch … Perso je dirais que c’est comme ca que c’est arrive.

Il se peut aussi qu’un petit malin l’ai fait rentrer lui meme, expres. Maintenant il suffit aussi qu’une machine infectee et en cours de bombardement intense se fasse switcher a l’interieur et meme si elle est plus a l’exterieur elle va propager l’infection en interne.

Il n’est pas cense y avoir un serveur SQL accessible de l’exterieur c’est clair et les machines qui sont dehors sont censees etre recensees et surveillees de pres. Ca veut pas dire qu’une machine de prod a ete infectee.

Je note que Glop a du mal avec “tous” et “tout” :o